서버 운영 관리 [ Tip ]

차동훈 에반젤리스트

root 로그인 차단

 

 

리눅스 시스템에서 root (관리자) 계정으로 바로 로그인하면 편리하지만

패스워드가 노출되거나 해킹을 당하게 되면 한 번만에 뚫리게 되는 구조라 보안상 좋지는 않다.

일반계정으로 로그인 한 다음 관리자 계정으로 패스워드를 입력하고 전환하는 방법을 추천한다.

아래는 root 로 바로 로그인 되는 시스템을 일반계정을 통해 로그인 가능한 시스템으로 변경하는 방법이다.

 

 

root 계정 바로 로그인 막기


 

  

1. /etc/pam.d/su 파일 수정 (아래 라인 주석 해제)

#auth           required        pam_wheel.so use_uid

auth           required        pam_wheel.so use_uid

 

2. wheel 그룹 생성

$ groupadd wheel

 

3. su 명령어를 wheel 그룹에서만 실행할수 있도록 소유자 변경

$ chgrp wheel /bin/su

 

4. su 명령어 접근 권한 변경

$ chmod 4750 /bin/su

 

5. 일반계정에 wheel 그룹 추가 (root 로 권한 변경 가능한 아이디를 wheel 그룹에 추가)

$ usermod -G wheel "일반계정ID"

 

6. 마지막으로 ssh 설정에서 root 로 바로 로그인이 되지 않도록 하면 된다.

PermitRootLogin no

 

위와 같이 설정하면 wheel 그룹에 포함된 계정만 su - 명령어를 통해 root 권한으로 변경 가능하다

 

wheel 그룹에 포함된 계정은 아래와 같이 확인가능하다

$ cat /etc/group | grep wheel

wheel:x:10:smileserv

 

smileserv 라는 계정이 wheel 그룹에 포함되어 있으며 본 계정으로 로그인 한 다음에 'su -' 명령어를 통하여 root 관리가 계정으로 전환할 수 있다.

 

비록 2번의 패스워드 입력과정이 필요하지만 가장 기본적인 보안 설정이므로 리눅스 사용자는 꼭 설정하여 시스템을 보호하는것이 좋다.