su 명령어를 모든 사용자 계정에서 사용하도록 설정되어 있는 경우 root 계정 권한을 탈취하기 위해 패스워드 무작위 대입공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing)을 시도하여 root 계정 패스워드가 유출될 위험이
존재한다.
root 계정 su 제한(취약한 설정)
일반 사용자의 계정으로 root 계정의 권한을 탈취하기 위한 시도를 지속적으로 할 수 있다.
Default로 모든 사용자가 su를 사용할 수 있게 되어 있다.
root계정 su제한(양호한 설정)
/etc/pam.d/su 파일을 수정해 줘야 한다.
이중 pam_wheel.so의 주석을 해제해주면된다.
pam_wheel.so 모듈은 root 권한을 얻을 수 있는 사용자를 wheel이라는 그룹으로 묶어서 사용하도록 지원하는 모듈이다.
su와 관련된 /etc/pam.d/su에 사용하면 유용하다.
use_uid는 일반 계정의 사용자의 경우 500번 이후의 UID를 갖고 있는데 wheel 그룹에 등록되면, wheel 그룹의 권한을 갖고 체크를 하게되는 것을 말한다.
/etc/group의 wheel그룹을 찾아서 추가하고자 하는 일반계정명을 입력한다.
그 후 su의 파일 위치를 찾아서 해당 파일의 그룹 권한을 wheel로 변경해준다.
Permission 변경을 통해서 root 계정과 그룹의 경우에만 사용이 가능하고 일반 사용자는 사용하지 못하도록 변경한다.
4000은 실 사용자에서 프로그램 소유자의 ID로 유효사용자가 변경된다.(일반 계정의 사용자가 프로그램의 소유자 권한을 빌려와 사용할 수 있게 되는 것)
'리눅스 > 주요정보통신기반시설_UNIX' 카테고리의 다른 글
| [계정관리]1.8 CentOS 6.7 패스워드 최대 사용기간 설정 (0) | 2019.03.15 |
|---|---|
| [계정관리]1.7 CentOS 6.7 패스워드 복잡성 설정 (0) | 2019.03.15 |
| [계정관리]1.5 CentOS 6.7 root 이외의 UID '0' 금지 (0) | 2019.03.15 |
| [파일 및 디렉토리 관리]2.1 CentOS 6.7 root 홈, 디렉터리 권한 및 패스 설정 (0) | 2019.03.14 |
| [계정관리]1.4 CentOS 6.7 패스워드 파일 보호 (0) | 2019.03.14 |
