일반 유저에게 root에 준하는 권한을 부여하는 방법에 대해 설명한다. 구현을 위해 sudo를 이용하였고, 일부 시스템을 해칠수 있는 명령어들은 실행 불가능하도록 조정하였다. 그리고 sudo 유지 시간을 기본시간보다 길게 10분으로 조정 함.
세팅방법 :
[root@Sample-local home]# vi /etc/sudoers
# Defaults specification
Defaults timestamp_timeout=10 ---> 10분간 sudo를 유지. 계속유지는 -1
# User privilege specification
root ALL=(ALL) ALL
myadmin ALL=(ALL) ALL, !/bin/rm, !/bin/cp, !/bin/mv, !/bin/mkdir, !/bin/ln, !/bin/link, !/bin/unlink, !/sbin/shutdown, !/usr/bin/rename, !/usr/bin/ssh, !/usr/bin/rsh, !/usr/bin/rexec, !/usr/bin/rlogin, !/usr/bin/telnet, !/sbin/init, !/bin/rpm, !/usr/lib/rpm/rpmb, !/usr/bin/make, !/sbin/fdisk, !/sbin/sfdisk, !/sbin/parted, !/bin/dd, !/usr/sbin/pvremove, !/usr/sbin/vgremove, !/usr/sbin/lvremove, !/bin/mount, !/bin/umount, !/bin/kill, !/usr/bin/killall, !/bin/chmod, !/bin/chown, !/bin/cat, !/usr/bin/tail, !/bin/vi, !/usr/bin/vim, !/usr/bin/nano, !/usr/sbin/visudo, !/usr/bin/gcc, !/usr/bin/c++, !/usr/bin/g++, !/usr/bin/perl, !/usr/bin/perl5.8.5, !/usr/bin/python, !/usr/bin/python2.3, !/usr/bin/scp, !/usr/bin/rsync, !/usr/bin/wget, !/usr/bin/ftp, !/usr/bin/sftp, !/usr/bin/lftp, !/usr/bin/passwd, !/usr/bin/skill, !/usr/bin/yum, !/usr/bin/reboot, !/sbin/mkfs, !/sbin/mkfs.cramfs, !/sbin/mkfs.ext2, !/sbin/mkfs.ext3, !/sbin/mkfs.msdos, !/sbin/mkfs.vfat, !/sbin/mkfs.xfs, !/sbin/fsck, !/sbin/fsck.cramfs, !/sbin/fsck.ext2, !/sbin/fsck.ext3, !/sbin/fsck.msdos, !/sbin/fsck.vfat, !/sbin/fsck.xfs, !/sbin/e2label, !/sbin/e2image, !/usr/local/mysql/bin/mysql_config, !/usr/local/apache2/bin/apachectl, !/usr/local/proftpd.patch/sbin/proftpd
[root@Sample-local home]# vi /etc/passwd
myadmin:x:600:888::/home/myadmin:/bin/bash ---> myadmin라는 계정에게 bash 권한을 준다. wheel 그룹이 아닌 일반 그룹으로 지정.
* wheel 그룹으로 주면 wheel로 권한이 부여된 실행파일들은 sudo를 거치지 않고도 실행 가능하므로 일반그룹으로 할당.
/etc/passwd 파일에 계정정보를 위와같이 한줄 입력하고, pwconv 명령과 passwd myadmin 명령으로 계정 세팅.
[root@Sample-local home]# chmod 755 /bin/bash ; chown root.wheel /bin/bash
/bin/bash 퍼미션이 750으로 되어 있을 경우 일반계정 접속이 안되니 755로 꼭 변경.
참고로 엔파일서버 DDNSinstall.sh 를 돌리면 /bin/bash 퍼미션이 750으로 바뀜.
su 를 하여 root로 변경 가능한 권한을 wheel 그룹으로 제한한다. 아래 한줄 추가.
[root@Sample-local ~]# vi /etc/pam.d/su
auth required /lib/security/$ISA/pam_wheel.so group=wheel