2014.06.13 13:13

1. wheel 그룹으로 su 제한을 위한 설정

vim /etc/pam.d/su

설정 1) auth required /lib64/security/pam_wheel.so group=wheel

설정 2) auth required /lib/security/$ISA/pam_wheel.so group=wheel

 

2. 옵션설명

1) $ISA 토큰

$ISA는 해당 시스템의 아키텍쳐에 맞게 라이브러리 디렉토리를 자동으로 바로보게 하는 토큰이다.

따라서 위의 설정 2)로 64bit 시스템에 적용을 하였다고 하더라도 첫 번째 라인과 동일하게 동작을 한다.

2) debug 옵션

/lib/security/pam_wheel.so debug group=wheel

-> debug 옵션은 syslog에 좀 더 많은 정보를 제공하기 위한 옵션이다.

 

3. wheel 그룹 외의 사용자

만약 wheel 그룹에 속하지 않는 사용자가 su 요청을 하면 암호를 맞게 입력하여도 아래와 같이 동작을 한다.

-bash-4.1$ su -

암호:

su: incorrect password

 

4. 추가 설정

아울러서 wheel 그룹으로 su 제한을 하는 경우 아래와 같이 몇 가지 추가 보안 설정을 병행한다.

1) bash 퍼미션

[root@Mapoo-Blog ~]# ls -la /bin/bash

-rwxr-x---. 1 root wheel 903336 2013-07-18 22:19 /bin/bash

 

2) su 퍼미션

[root@Mapoo-Blog ~]# ls -la /bin/su

-rwsr-x---. 1 root wheel 34904 2013-11-23 00:36 /bin/su

 

3) 일반계정의 쉘권한 제거

[root@Mapoo-Blog ~]# grep mapoo /etc/passwd

mapoo-xxx:x:777:10::/home/mapoo-xxx:/bin/bash --> wheel 그룹 계정

mapoo575:x:2000:1000:2010-08-26@FTPGroupUser:/data1/mapoo575:/sbin/nologin

ftp-user1:x:2001:1000:2010-08-26@FTPUser1:/data1/mapoo575/ftp-user1:/sbin/nologin

ftp-user2:x:2002:1000:2010-08-26@FTPUser2:/data1/mapoo575/ftp-user2:/sbin/nologin

su 제한하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다