SU 명령어 사용 가능 그룹 제한 하는 방법

안녕하세요. 주원이상감자입니다.

보안 취약점 조치 내용 중 SU 명령어 사용 가능 그룹 제한 하는 방법입니다.

SU 명령은 명령을 통해 관리자 권한을 획득(전환)할수있는 명령어로 로그아웃하지 않고 다른 사용자로 전환하거나 관리자 권한을 획득하는 방법이므로 관리자 또는 지정된 그룹을 설정해 그룹사용자에게만 허가 해야 합니다.

 

보안정책(/etc/pam.d/su) 수정

$ vi /etc/pam.d/su

# 아래 두줄의 주석을 제거
auth        sufficient  pam_rootok.so
auth        required    pam_wheel.so use_uid

 

Group 생성(생성할 그룹 요청, 일반적으로 wheel 사용)

이 명령의 경우에는 wheel이라는 그룹이 없을 때 생성해주시길 바랍니다.

$ groupadd wheel

 

SU 명령어 사용이 필요한 계정을 그룹에 추가(추가할 계정 요청)

방법1

$ gpasswd -a root wheel 또는 usermod -G wheel root
$ gpasswd -a user1 wheel 또는 usermod -G wheel user1
$ gpasswd -a user2 wheel 또는 usermod -G wheel user2

'/etc/passwd'에 적힌 정보는 모두 변경 가능한 "usermod"를 이용해 개인의 그룹을 바꾸면, 기존에 속해있던 그룹에서 나오게 되는 것에 비해 이 "gpasswd"를 이용하면 한 유저를 여러 그룹에 속하게 할 수 있습니다.

 

방법2

$ vi /etc/group

# wheel을 찾아 su 를 사용할 계정을 삽입
wheel:x:10:root, user1, user2

 

SU 명령어의 그룹을 요청받은 그룹으로 변경

$ chown root:wheel /bin/su

 

SU 명령어의 권한 변경(4750)

$ chmod 4750 /bin/su

모든 세션을 종료하고 다시 연결했을 때 Wheel 그룹에 등록한 계정들만 su - 를 사용할 수 있게 됩니다.