2014.06.13 13:13
1. wheel 그룹으로 su 제한을 위한 설정
vim /etc/pam.d/su 설정 1) auth required /lib64/security/pam_wheel.so group=wheel 설정 2) auth required /lib/security/$ISA/pam_wheel.so group=wheel |
2. 옵션설명
1) $ISA 토큰
$ISA는 해당 시스템의 아키텍쳐에 맞게 라이브러리 디렉토리를 자동으로 바로보게 하는 토큰이다.
따라서 위의 설정 2)로 64bit 시스템에 적용을 하였다고 하더라도 첫 번째 라인과 동일하게 동작을 한다.
2) debug 옵션
/lib/security/pam_wheel.so debug group=wheel
-> debug 옵션은 syslog에 좀 더 많은 정보를 제공하기 위한 옵션이다.
3. wheel 그룹 외의 사용자
만약 wheel 그룹에 속하지 않는 사용자가 su 요청을 하면 암호를 맞게 입력하여도 아래와 같이 동작을 한다.
-bash-4.1$ su -
암호:
su: incorrect password
4. 추가 설정
아울러서 wheel 그룹으로 su 제한을 하는 경우 아래와 같이 몇 가지 추가 보안 설정을 병행한다.
1) bash 퍼미션
[root@Mapoo-Blog ~]# ls -la /bin/bash -rwxr-x---. 1 root wheel 903336 2013-07-18 22:19 /bin/bash |
2) su 퍼미션
[root@Mapoo-Blog ~]# ls -la /bin/su -rwsr-x---. 1 root wheel 34904 2013-11-23 00:36 /bin/su |
3) 일반계정의 쉘권한 제거
[root@Mapoo-Blog ~]# grep mapoo /etc/passwd mapoo-xxx:x:777:10::/home/mapoo-xxx:/bin/bash --> wheel 그룹 계정 mapoo575:x:2000:1000:2010-08-26@FTPGroupUser:/data1/mapoo575:/sbin/nologin ftp-user1:x:2001:1000:2010-08-26@FTPUser1:/data1/mapoo575/ftp-user1:/sbin/nologin ftp-user2:x:2002:1000:2010-08-26@FTPUser2:/data1/mapoo575/ftp-user2:/sbin/nologin |