취약점
su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우, root 계정 권한을 얻기 위해 패스워드 무작위 대입 공격을 시도하여 root 계정 패스워드가 유출될 위협이 있음
따라서, su명령어가 su 관련 그룹에서만 허용되도록 설정하자!
보안조치
su 사용자를 지정하는 방법으로는 2가지 방식이 있다. 하나는 "PAM 설정", 두 번째는 "권한 설정"이다.
PAM 설정은 PAM 모듈을 이용하고 권한 설정은 wheel이라는 그룹을 관리하여 이 그룹의 구성원만이 su를 사용할 수 있도록 한다.
여기서는 두 번째 방식을 적용하도록 하겠다!
■ 먼저는 wheel 그룹을 확인해보자!
[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:root,test
구성원으로서 root가 존재한다, test계정을 추가해주었다.
■ 다음 3가지를 수행
#1 su명령어 위치 확인
[root@localhost ~]# which su
/usr/bin/su
[[root@localhost ~]# ls -l /usr/bin/su
-rwsr-xr-x. 1 root root 32128 10월 1 02:46 /usr/bin/su
#2 그룹변경
[root@localhost ~]# chgrp wheel /usr/bin/su
[root@localhost ~]# ls -l /usr/bin/su
-rwxr-xr-x. 1 root wheel 32128 10월 1 02:46 /usr/bin/su
#3 SetID설정
[root@localhost ~]# chmod 4750 /usr/bin/su
[root@localhost ~]# ls -l /usr/bin/su
-rwsr-x---. 1 root wheel 32128 10월 1 02:46 /usr/bin/su
#3에서 SetUID를 설정해주는 이유는 기본적으로 su명령어는 관리자 권한이 필요하기 때문이다.
따라서, 명령어가 실행될 때만 사용자의 권한을 위임받을 수 있는 setuid를 적용해준 것이다(su 사용자는 현재 root)
*chmod 4750 : other에게 실행권한을 주면 말짱도로묵
결과
test는 wheel에 속하므로 정상 사용이 되고
test2는 wheel에 속하지 않으니 사용이 안된다!
참조
'리눅스 > 계정관리' 카테고리의 다른 글
| [CentOS 7] 사용자 shell 점검 및 TMOUT 설정 (0) | 2020.12.31 |
|---|---|
| [CentOS 7] UID,GID와 관련한 보안 (0) | 2020.12.30 |
| [CentOS 7] 패스워드 파일 보호 (0) | 2020.12.30 |
| [CentOS 7] 패스워드 복잡성 및 계정 잠금 임계값 설정 (0) | 2020.12.28 |
| [CentOS 7] root 계정 원격 접속 제한 (0) | 2020.12.25 |