Su : swith user. -> su – 그 계정으로 로그인하게 된다.
Sudo : superuser do. Superuser의 권한으로 실행하겠다는 뜻.
Root를 원격 접속으로 하지 마라. 일반 계정으로 접속한 후 su -> 로 들어갈 수 있게 해라.
모든 계정이 su를 사용할 순 없다. Su 명령어가 허용된 user들만 root를 사용할 수 있게끔 한다.
PAM ; 기능을 쪼개놓고 설정하고 싶은 부분만 설정해서 사용. -> pam 모듈 -> su 를 사용해서 접근 허용.
Pam ->wheel.so 부분이 필요하다. / group=wheel 만 사용하게끔 해라. (가이드 해결방법 참조.) <- wheel 그룹에 아무도 없으면, 처리방식 오류로 인해 su 가 다 허용이 되어버린다.
Wheel 그룹은 원래 default로 존재하진 않고 한명이라도 들어가있어야 함.
Wheel 이름 자체에 큰 의미는 없다. (가이드 참조) <- 다 wheel로 만들기는 한다.
Find 로 찾으면 wheel.so 있기는 하지만 pam.d/su 에 명시가 안되어 있기 때문에 진단내용에서 안보인다.
(피드백)
/bin/su > 일반사용자에 대한 권한이 존재하지 않음. 그러므로 일반사용자는 su 명령어를 사용할 수 없음
-rwsr-x---. 1 root wheel > wheel 그룹에 속한 사용자만 su 명령어를 사용할 수 있음.
Pam에서 group=wheel 옵션을 사용하여 pam_wheel.so 모듈이 휠 그룹을 사용하여 인증을 처리하며
사용자가 wheel 그룹에 속해있지 않다면 인증을 성공할 수 없음
auth required pam_wheel.so use_uid debug group=wheel
일반사용자에 대한 su 제한 설정이 되어 있으므로 양호함
su 명령어에 대한 제한이 한가지만 설정되어 있던게 아님.
Comments
Post a Comment