대상 Linux Master ~ su 명령에 대한 권한 ~

su 명령의 제한 권한을 기술합니다. su 명령은 루트 권한으로 승격하여 다른 사용자로 로그인할 수 있는 강력한 명령입니다. 일반 사용자로 설정해야 합니다. 쉽게 사용할 수 없습니다.
※ [2016.11.4 보충] PAM 설정이 변경되었습니다. →추기

컨디션

  • Cent OS 6.8
  • GNOME 2.28.2
  • PAM(/libpam.so) 0.82.2
  • 보다 세밀한 환경에서는 블로거을 참조하십시오.
    또한 이번 내용은 블로그의 9, 12회에 상세하게 실렸으니 참고하시기 바랍니다.

    [제9회] 타겟 리눅스 주인(1)~sudoers의 관리~


    [제12회] 대상 Linux 마스터(4)~su의 권한~


    관리자 사용자를 wheel 그룹에 가입


    이번에su 명령을 사용한 사람은 wheel이라는 그룹 구성원입니다. 이외에su는 할 수 없습니다. 따라서 관리자에게 권한을 줄 수 있는 사용자를 사전에 wheel 그룹에 가입시켜야 합니다.
    또한 wheel은 RedHat, CentOS, Fedora 등에 사용되는 관리자 그룹의 이름이며, Ubuntu 등 Debian 계열에서는 sudo 그룹으로 대체된다. 인증 시 이들 관리자 그룹에 속하는지 여부를 판별하는 프로그램 라이브러리를 준비했기 때문이다.관례대로 활용하는 것은 간단하죠. 물론 관리자 그룹이 쉽게 정해지는 것을 좋아하지 않는다면 자기 그룹을 구성할 수도 있습니다. 이런 상황에서 설정하는 방법은 더욱 복잡합니다.
    여기서 엔리우라는 사용자를 wheel 멤버로 바꿉니다.
    $ su -
    # gpasswd -a enryu wheel
    

    로그인 처리 설정


    ※ 최근 센토스에 로건이 있습니다.SU defsWHEEL_ONLY를 설정할 필요가 없다고 합니다(CentOS 6.8을 통해 확인).
    이번엔 로빈이야.내가 defs를 만들 테니 루트 권한으로 열어라.
    # vi /etc/login.defs
    

    마지막으로 다음 줄을 추가합니다.
    /etc/login.defs
    # Only wheel group can su root
    SU_WHEEL_ONLY        yes
    
    #PAM 설정
    마지막으로 PAM 설정을 하고 이번에 엽니다/etc/pam.d/su.

    두 설명 행 아래의 주석을 취소합니다.
    /etc/pam.d/su
    # Uncomment the following line to require a user to be in the "wheel" group.
    # auth        required        pam_wheel.so use_uid
    ↑
    ここのコメントを外す.dwで1単語削除.
    
    이렇게 하면su 명령에서 루트로 승격할 수 있는 것은 wheel 구성원에만 한정되며 다른 사용자로 전환할 수 없습니다.
    ※ [2016.11.4 보충]
    다음 루트only 옵션을 추가합니다.
    /etc/pam.d/su
    # root_onlyオプションをつけることで,rootへの昇格のみを制限します
    auth        required        pam_wheel.so use_uid root_only
    
    나중에 다시 시작하면 설정이 다 반영됩니다.
    # exit
    $ sudo shutdown -r now
    
    다른 사용자가 su를 시도하려고 해도 비밀번호를 입력하기 전에 auuth 인증을 통해 팝업을 하면 모든 것을 입력하면 '비밀번호가 다르다' 를 표시합니다.

    경품: wheel그룹 허용 sudo


    이번에는 wheel그룹만 su 명령을 통해 루트로 승격할 수 있는 권한이 있지만 원래 su가 루트가 되면 루트 비밀번호를 입력해야 하기 때문에 도청 비밀번호를 받을 수 있습니다.모든 작업은 루트 권한으로 진행되기 때문에 오류가 발생할 수 있습니다. 따라서 루트 권한으로 실행할 때만 허용되는 sudo 명령을 사용하는 것을 추천합니다.
    wheel의 설정에 따라 wheel 멤버가 sudo를 허락합니다.

    sudoers에 wheel 추가


    sudo의 설정은 sudoers 파일에 기술됩니다.visudo 명령으로 설정을 엽니다.
    $ su -
    # visudo
    
    동작은vi와 같습니다. 편집할 위치로 이동합니다. 명령 모드/wheel에서 입력하면 편집점을 검색할 수 있습니다.

    명령 모드에서 Enter 키를 누르면 다음 줄의 시작으로 이동합니다. 따라서 주석을 취소합니다.
    이렇게 하면 wheel그룹에 속하는 사용자는 sudo를 진행할 수 있다.
    이상

    참고 자료


    su 명령을 실행할 사용자를 제한하려면

    저도 잘 부탁드립니다.


    용의 마니아 | 홈페이지

    좋은 웹페이지 즐겨찾기