sudo명령어의 보안 실무사항

sudo명령어의 보안 실무사항

 

 

 

주의하실 것은 sudo명령어의 허용설정으로 인하여 허용되지 않은 사용자 또는 악의적인 의도를 가진 내부사용자에게 root명령어의 사용권한을 허용한다면 치명적인 결과를 초래할 수도 있다는 점입니다.

 

 

 

 

 

그리고 sudo명령어 자체에 root소유의 SetUID설정이 되어있으므로 관리에 유의하셔야 합니다.

 

 

 

 시스템 보안측면에서 말씀 드린다면, 가능하다면 sudo명령어의 SetUID설정을 제거하거나 아예 sudo명령어파일을 삭제하여 사용하지 못하도록 하는 것이 옳다고 생각합니다.

 

 

 

 

 

즉, sudo명령어에 대한 실질적인 보안설정에 대해서 다음 세가지로 요약될 수 있습니다.

 

 

 

 

 

첫째, “rm -f /usr/bin/sudo”를 실행하여 아예 sudo명령어를 삭제하는 것입니다.

 

 

 

  즉, sudo를 사용함으로써 누릴 수 있는 편리성과 효율성이 크기는 하지만, 위험성이 보다 크다고 판단하기 때문에 꼭 필요한 경우가 아니면 시스템에서 영원히 삭제해 버리는 것이 좋다고 생각합니다.

 

 

 

 

 

둘째, “chmod 100 /usr/bin/sudo”를 실행하여 sudo에 설정되어 있던 SetUID를 제거하고 root만 실행 가능하도록 설정하는 것입니다.

 

 

 

  이렇게 해두면 SetUID설정에 따르는 위험은 제거됩니다.

 

 

 

 

 

셋째, “chattr +i /usr/bin/sudo”를 실행하여 sudo파일이 변경되지 못하도록 설정해 두는 것입니다.

 

 

 

 이 설정은 root라 하더라도 sudo파일을 변경하지 못하므로 해킹의 위험으로부터 어느 정도 보호할 수 있습니다.