강좌
클라우드/리눅스에 관한 강좌입니다.
리눅스 분류

특정 user 또는 그룹만 su 명령어 사용하게 하는 방법

작성자 정보

  • 웹관리자 작성
  • 작성일

컨텐츠 정보

본문

icon01.gif title15.gif

리눅스에서 su 명령어 사용을 특정사용자에게만...

 

두가지만 손봐주시면 됩니다 .

첫 번째, /etc/group 파일에서 wheel 그룹에 su 명령어를 사용할 사용자를 추가합니다.

아래의 예는 필자가 운영하는 시스템의 경우의 예임.

[root@kebia_1 ]# cat /etc/group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root,sspark

두 번째, /etc/pam.d/su 파일에 아래의 빨간색으로 표시된 두줄을 설정해 주시면 됩니다.

[root@kebia_1 ]# cat /etc/pam.d/su
#%PAM-1.0
auth       sufficient   /lib/security/pam_rootok.so
auth       required /lib/security/pam_wheel.so debug group=wheel
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient   /lib/security/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required     /lib/security/pam_wheel.so use_uid
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_xauth.so

 

세 번째로, su명령어의 사용을 허용한 사용자와 허용되지 않은 사용자가 각각 su명령어를 사용했을 때 /var/log/messages에 다음과 같은 로그기록의 차이점이 있다.

먼저, picasso라는 su명령어사용이 허용되어 있지 않은 (정확히는 /etc/group의 wheel그룹사용자가 아닌 경우)사용자가 su명령어를 사용했을 경우의 로그는 다음과 같은 형식으로 남게된다.

Mar 14 16:34:13 kebia_1 sshd[1799]: Accepted password for picasso from 211.220.193.149 port 1035 ssh2
Mar 14 16:34:13 kebia_1 PAM_unix[1799]: (system-auth) session opened for user picasso by (uid=0)
Mar 14 16:34:25 kebia_1 PAM-Wheel[1831]: Access denied for 'picasso' to 'root'

다음은 su 명령어 사용이 허용된 sspark이라는 사용자가 su명령어를 사용했을 경우의 messages로그 기록예입니다.

Mar 14 16:34:49 kebia_1 sshd[1835]: Accepted password for sspark from 211.220.193.149 port 1036 ssh2
Mar 14 16:34:49 kebia_1 PAM_unix[1835]: (system-auth) session opened for user sspark by (uid=0)
Mar 14 16:34:53 kebia_1 PAM-Wheel[1860]: Access granted to 'sspark' for 'root'
Mar 14 16:34:56 kebia_1 PAM_unix[1860]: (system-auth) session opened for user root by sspark(uid=500)

 

"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."

관련자료

댓글 0
등록된 댓글이 없습니다.
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,277 명
  • 현재 강좌수 :  36,953 개
  • 현재 접속자 :  340 명