root 로그인 차단
리눅스 시스템에서 root (관리자) 계정으로 바로 로그인하면 편리하지만
패스워드가 노출되거나 해킹을 당하게 되면 한 번만에 뚫리게 되는 구조라 보안상 좋지는 않다.
일반계정으로 로그인 한 다음 관리자 계정으로 패스워드를 입력하고 전환하는 방법을 추천한다.
아래는 root 로 바로 로그인 되는 시스템을 일반계정을 통해 로그인 가능한 시스템으로 변경하는 방법이다.
root 계정 바로 로그인 막기
1. /etc/pam.d/su 파일 수정 (아래 라인 주석 해제)
#auth required pam_wheel.so use_uid → auth required pam_wheel.so use_uid |
2. wheel 그룹 생성
$ groupadd wheel |
3. su 명령어를 wheel 그룹에서만 실행할수 있도록 소유자 변경
$ chgrp wheel /bin/su |
4. su 명령어 접근 권한 변경
$ chmod 4750 /bin/su |
5. 일반계정에 wheel 그룹 추가 (root 로 권한 변경 가능한 아이디를 wheel 그룹에 추가)
$ usermod -G wheel "일반계정ID" |
6. 마지막으로 ssh 설정에서 root 로 바로 로그인이 되지 않도록 하면 된다.
- /etc/ssh/sshd_config 수정
PermitRootLogin no |
위와 같이 설정하면 wheel 그룹에 포함된 계정만 su - 명령어를 통해 root 권한으로 변경 가능하다
wheel 그룹에 포함된 계정은 아래와 같이 확인가능하다
$ cat /etc/group | grep wheel wheel:x:10:smileserv |
smileserv 라는 계정이 wheel 그룹에 포함되어 있으며 본 계정으로 로그인 한 다음에 'su -' 명령어를 통하여 root 관리가 계정으로 전환할 수 있다.
비록 2번의 패스워드 입력과정이 필요하지만 가장 기본적인 보안 설정이므로 리눅스 사용자는 꼭 설정하여 시스템을 보호하는것이 좋다.