[리눅스] Linux 보안 설정 SSH 특정 계정 접속 제한

 

1. root , 특정 사용자 접근제어

리눅스 시스템에 필요한 사용자 접근에 부분에 있어서는 제어할수 있는 방법은 다양하게 존재 한다. ssh로 접근하는
사용자의 경우 /etc/ssh/ sshd_config 파일에서 처리할수 있으나. PAM 모듈을 이용하여 특정 사용자에 대한 접근을 막을수 있는 방법으로 아래와 같이 소개한다.

[root@localhost]# vi /etc/ssh/sshd_config
#PermitRootLogin yes
PermitRootLogin no -> root로 접속을 막고 일반 사용자로 접속하여 시스템에 접속할수 있도록 설정한다.

 

[root@/etc/pam.d]# vi /etc/pam.d/sshd
#%PAM-1.0
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/sshusers onerr=succeed
- 맨 윗 부분에 이부분을 추가해주고 /etc/ssh/sshusers를 생성해준다. (파일 경로나 이름은 마음대로 설정하면 된다.)

 

[root@server3 pam.d]# vi /etc/ssh/sshusers - 새로운 파일을 생성한다.
## ssh 접속을 제한 할 사용자를 1줄씩 입력해준다.
TigerBum

TigerBum1

TigerBum 계정으로 접속을 시도해 본다 되지 않는다면 정상

 

2. PAM을 이용한 특정사용자 su 명령어 제한 방법
리눅스 계정에서 일반 사용자로 접속하여 사용할 경우 부득이하게 su 명령어를 이용하여 root 계정으로 전환이 필요할때가 있다, 하지만 모든 사용자를 전부 su 명령어를 사용하도록 한다는 것은 보안적으로도 유익하지 못하다. 그래서 PAM 모듈을 이용하여 각 사용자 별로 su 명령어를 사용할수 있도록 권한을 할당하는 방법을 소개한다.

[root@localhost] cp /etc/pam.d/su su.bak --> 반드시 백업파일을 만들어 만약을 대비한다.
[root@localhost] vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid (# 주석을 삭제하여 wheel 그룹을 Enable 되도록 한다.)
auth include system-auth
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session optional pam_xauth.so

 

주석을 삭제하여 편집기를 저장하고 빠져 나온후 /etc/group 파일의 편집을 진행한다.
파일에 wheel 그룹에 원하는 사용자를 추가하면 su 명령어를 사용할수 있는 사용자 그룹에 포함됨으로
su 명령어 사용에 대한 권한을 주고 싶은 사용자를 추가한다. [ex: 예제 사용자는 TigerBum]

 

[root@localhost]vim /etc/group
mem:x:8:
kmem:x:9:
wheel:x:10:root, TigerBum

 

편집이 완료되었으면 편집기를 저장한 후에 redhat 계정으로 Login 한후 su 명령어로 root 사용자로 또는 다른 사용자 계정으로 전환이 가능한지를 테스트해 본다.