[Linux 보안] 리눅스 계정 관리 - root 계정 su 제한

2016. 11. 18. 10:35·Infra/리눅스 서버

[Linux 보안] 리눅스 계정 관리 - root 계정 su 제한



■ 대상 OS : SunOS, Linux, AIX, HP-UX


■ 취약점 개요

    - 권한이 없는 일반 사용자가 su 명령을 사용하여 로그인을 시도하고 패스워드 무작위 대입공격(Brute Force Attack)이나 패스워드 추측공격(Password Guessing)을 통해 root 권한을 획득할 수 있음

    - su 명령어 사용이 허용된 사용자만 root 계정으로 접속할 수 있도록 함


■ 보안대책

    - 양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한되어 있는 경우

    - 취약 : su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우


■ 조치방법

    - 일반 사용자의 su 명령 사용 제한

       1. Group 생성(생성할 그룹 요청, 일반적으로 wheel 사용)

       2. su 명령어의 그룹을 요청받은 그룹으로 변경

       3. su 명령어의 권한 변경(4750)

       4. su 명령어 사용이 필요한 계정을 새로 생성한 그룹에 추가(추가할 계정 요청)

※ Linux의 경우, *PAM(Pluggable Authentication Module)을 이용한 설정 가능


* PAM(Pluggable Authentication Module) : 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화 된 방법을 말하며, PAM은 관리자가 응용프로그램들의 사용자 인증 방법을 선택할 수 있도록 해줌


■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        1. SunOS, Linux, AIX, HP-UX

           - "wheel" 그룹(su 명령어 사용 그룹) 및 그룹 내 구성원 존재 여부 확인

              #cat /etc/group

               wheel:x:10:root,admin


           - wheel 그룹이 su 명령어를 사용할 수 있는지 설정 여부 확인

             [SunOS] #ls -al /usr/bin/su

                        #chgrp security su

                        #chmod 4750 su

             [AIX] #cat /etc/security/user  -->  default의 "sugroups=staff" 설정 확인

                      /etc/group 에서 staff 그룹에 해당하는 계정만 su 사용 가능

             [HP-UX] #vi /etc/default/security  -->  SU_ROOT_GROUP=wheel 설정 확인


           - 파일 권한 확인

             #ls -l /usr/bin/su

               -rwsr-x--- /usr/bin/su   (파일 권한이 4750인 경우 양호)


        2. Linux PAM 모듈 이용 시

           - "wheel" 그룹(su 명령어 사용 그룹) 및 그룹 내 구성원 존재 여부 확인

              #cat /etc/group

                wheel:x:10:root,admin


           - 허용 그룹(su 명령어 사용 그룹) 설정 여부 확인

              #cat /etc/pam.d/su

               auth required /lib/security/pam_wheel.so debug group=wheel 또는,

               auth required /lib/security/$ISA/pam_wheel.so use_uid


    ◆ 위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정


■ SunOS, Linux, HP-UX

    1. wheel group 생성 (wheel 그룹이 존재하지 않는 경우)

        #groupadd wheel

    2. su 명령어 그룹 변경

        #chgrp wheel /usr/bin/su

   3. su 명령어 사용권한 변경

        #chmod 4750 /usr/bin/su

    4. wheel 그룹에 su 명령 허용 계정 등록

        #usermod -G wheel <user_name>

        또는, 직접 /etc/group 파일을 수정하여 필요한 계정 등록

        wheel:x:10:  ->  wheel:x:10:root,admin


■ AIX

    1. wheel group 생성(wheel 그룹이 존재하지 않는 경우)

       #mkgroup wheel

    2. su 명령어 그룹 변경

       #chgrp wheel /usr/bin/su

    3. su 명령어 사용권한 변경

       #chmod 4750 /usr/bin/su

    4. wheel 그룹에 su 명령 허용 계정 등록

       #chgroup users=<user_name> wheel

       (예 : chgroup users=admin wheel)


■ Linux PAM 모듈을 이용한 설정 방법

    1. "/etc/pam.d/su" 파일을 아래와 같이 설정(주석제거)

       auth        sufficient        /lib/security/pam_rootok.so

       auth        required         /lib/security/pam_wheel.so debug group=wheel 또는,

       auth        sufficient        /lib/security/$ISA/pam_rootok.so

       auth        required         /lib/security/$ISA/pam_wheel.so use_uid


    2. wheel 그룹에 su 명령어를 사용할 사용자 추가

        #usermod -G wheel <user_name>

        또는, 직접 "/etc/group" 파일을 수정하여 필요한 계정 추가

         wheel:x:10:  ->  wheel:x:10:root,admin


■ 조치 시 영향

    - 그룹에 추가된 계정들은 모든 Session 종료 후 재로그인 시 su 명령어 사용 가능



※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기

저작자표시 비영리 변경금지 (새창열림)

'Infra > 리눅스 서버' 카테고리의 다른 글

[Linux 보안] 리눅스 계정 관리 - 패스워드 최대 사용기간 설정  (0) 2016.11.23
[Linux 보안] 리눅스 계정 관리 - 패스워드 최소 길이 설정  (0) 2016.11.21
[Linux 보안] 리눅스 계정관리 - root 이외의 UID가 '0' 금지  (0) 2016.11.17
[Linux 보안] 리눅스 계정관리 - 패스워드 파일 보호  (0) 2016.11.14
[Linux 보안] 리눅스 계정 관리 - 계정 잠금 임계값 설정  (0) 2016.11.11
'Infra/리눅스 서버' 카테고리의 다른 글
  • [Linux 보안] 리눅스 계정 관리 - 패스워드 최대 사용기간 설정
  • [Linux 보안] 리눅스 계정 관리 - 패스워드 최소 길이 설정
  • [Linux 보안] 리눅스 계정관리 - root 이외의 UID가 '0' 금지
  • [Linux 보안] 리눅스 계정관리 - 패스워드 파일 보호
하늘이데아
하늘이데아
IT에 관한 모든 것들, 궁금한 사항은 언제든지 문의~^^ 선박 사이버 복원력(Cyber ​​Resilience)/서버/네트워크/보안/솔루션/SI, SM/컨설팅/전산 유지보수 전문입니다. 070-4432-2177 / jyuhm@ufeed.co.kr
  • 하늘이데아
    IT 보물창고
    하늘이데아
  • 전체
    오늘
    어제
    • 분류 전체보기 (305)
      • (주)에스엔티코리아 (11)
        • 컨설팅 (2)
        • 데이터 센터(IDC) (0)
        • Infra (0)
      • Infra (224)
        • Server 일반 (0)
        • 윈도우 서버 (96)
        • 리눅스 서버 (90)
        • 가상화 (0)
        • Unix (0)
        • Network 일반 (4)
        • CCNA CCNP CCIE (3)
        • L4 - L7(알테온, 파이오링크) (1)
        • 방화벽 IPS IDS 웹방화벽 (27)
        • Storage (0)
        • NAS (0)
        • Cloud (1)
        • PC 일반 (1)
        • 모바일 (0)
        • 스마트 워크 (0)
        • 부대시설 (0)
      • News (7)
        • IT (0)
        • 엔터테이먼트 (2)
        • 게임 리뷰 (0)
      • Security (47)
        • Server Security (0)
        • Network Security (3)
        • Hacking & Security (44)
        • Security Policy (0)
        • PC Security (0)
      • AI & IoT (0)
        • AI (0)
        • IoT (0)
        • Big Data (0)
        • Block Chain (0)
      • DBMS (1)
        • Oracle (0)
        • My-SQL (1)
        • MS-SQL (0)
        • PostgreSQL (0)
        • Mongo DB (0)
        • IBM DB2 (0)
        • MS Access (0)
        • Cassandra (0)
        • Maria DB (0)
        • Tibero (0)
      • 솔루션 (14)
        • Management System (0)
        • 전자칠판 (0)
        • Monitoring System (0)
        • Operating System (0)
        • Open Source (0)
        • Kubernetes & Docker (0)
        • ERP, 그룹웨어, CRM, PMS (0)
        • DRM, DLP, 보안 USB (0)
        • 문서 중앙화 (0)
        • 통합 소방방재 시스템 (1)
        • 반려동물 ICT (2)
        • Office 365 (기업 최적화), 컨설팅 (0)
        • 지능형 CCTV (0)
        • BMS 빌딩 통합관리 시스템 (0)
        • 재택근무 & 화상회의 시스템 (10)
        • Etc. (1)
      • 기획 Planning (1)
        • 전산기획 (0)
        • Design UI UX (1)
        • 회사생활 Mind (인사평가) (0)
      • Tip & Know How (0)
        • Office 365 (0)
  • 블로그 메뉴

    • 태그
    • 방명록
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    에스엔티코리아
    홈페이지
    윈도우보안
    AIX
    홈페이지_개발보안
    방화벽
    Security
    HP UX 보안
    IPS
    리눅스 파일 및 디렉토리 관리
    보안장비
    리눅스 보안
    Cisco
    윈도우서버
    IT보물창고
    리눅스보안
    서버보안
    HP UX보안
    리눅스
    SunOS 보안
    VPN
    AIX 보안
    AIX보안
    서버
    SunOS보안
    SunOS
    보안취약점
    홈페이지취약점
    서버관리
    보안
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.3
하늘이데아
[Linux 보안] 리눅스 계정 관리 - root 계정 su 제한
상단으로

티스토리툴바