root 로그인 차단
리눅스 시스템에서 root(관리자)계정으로 로그인하여 관리할 경우 편하지만,
해킹으로 인해 패스워드가 노출될 경우 한번에 모든 권한을 해킹당하여 보안상 좋지 않습니다.
이럴경우 일반 계정으로 로그인 후 관리자계정으로 패스워드를 입력하여 전환하는 방법을 권장드리고 있습니다.
본 매뉴얼은 root로 바로 로그인되는 시스템을 일반계정을 이용하여 로그인 가능한 시스템으로 변경하는 절차를 소개합니다.
root 다이렉트 로그인 차단
1. /etc/pam.d/su 파일 수정 (아래 라인 주석 해제)
|
#auth required pam_wheel.so use_uid → auth required pam_wheel.so use_uid |
2. wheel 그룹 생성
| $ groupadd wheel |
3. su 명령어를 wheel 그룹에서만 실행할수 있도록 소유자 변경
| $ chgrp wheel /bin/su |
4. su 명령어 접근 권한 변경
| $ chmod 4750 /bin/su |
5. 일반계정에 wheel 그룹 추가
※root 로 권한 변경 가능한 아이디를 wheel 그룹에 추가
| $ usermod -G wheel "일반계정ID" |
6. 마지막으로 ssh설정에서 루트계정으로의 접속을 차단합니다.
● /etc/ssh/sshd_config 수정
| PermitRootLogin no |
7. 수정 후 sshd 데몬을 재실행하여 변경한 설정을 적용합니다.
| $ cat /etc/group | grep wheel wheel:x:10:smileserv |
위와 같이 설정하면 wheel 그룹에 포함된 계정만 su - 명령어를 통해 root 권한으로 변경할 수 있습니다.
wheel 그룹에 포함된 계정은 아래와 같이 확인할 수 있습니다.
|
$ cat /etc/group | grep wheel wheel:x:10:smileserv |
smileserv라는 계정이 wheel그룹에 포함되어 있으며, 본 계정으로 로그인 후 'su -' 명령어를 통해 root 계정으로 전환할 수 있습니다.
2번의 패스워드 입력으로 번거롭다고 느끼실 수 있지만 가장 기존적인 보안설정으로, 리눅스 사용자는 꼭 설정하여 보안성을 높이시기 바랍니다.