달력

112024  이전 다음

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30

[OS] SSH root 계정 접속 제한 및 스위칭 유저 설정

Linux/CentOS & RHEL 2020. 7. 7. 10:35

1. 사전 백업
mkdir -p /root/backup/20130508
cp -a /etc/pam.d/su /root/backup/20130508/su_bak
cp -a /etc/pam.d/system-auth /root/backup/20130508/system-auth_bak
cp -a /etc/ssh/sshd_config /root/backup/20130508/sshd_config_bak

2. 스위칭 계정 생성
/usr/sbin/useradd appuser -G wheel
echo "appuser" | passwd --stdin appuser

3. /etc/pam.d/su 수정
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so    debug use_uid
-> 주석되어 있는 해당 라인 주석 해제
auth            include         system-auth
..  생략

4. /etc/pam.d/system-auth 수정
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_tally2.so onerr=fail deny=10 unlock_time=3600
-> pam_env.so 아래 5번째 라인에 위 구문 삽입
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
account     required      pam_tally2.so
-> pam_unix.so 위 라인에 위 구문 삽입

account     required      pam_unix.so
.. 생략
-> 해당 2구문의 삽입 위치는 5번째 라인 / 11번째 라인입니다.

5. /etc/pam.d/password-auth
auth        required      pam_tally2.so onerr=fail deny=10 unlock_time=3600
account     required      pam_tally2.so
 
6. /etc/ssh/sshd_config 수정 / su 명령 권한 확인
42번째 라인 #PermitRootLogin no ▶ PermitRootLogin no    // 주석 해제
이후 service sshd restart 실행

7. /bin/su 바이너리 권한 확인(보안조치로 인해 권한 변경 되어있을 경우도 있습니다.) 
#ls -al /bin | grep su
-rwsr-x---. 1 root wheel 34904 2014-10-15 13:51 /bin/su

위와 같이 권한 및 소유자,그룹이 틀릴 경우
chown root.wheel /bin/su
chmod 4750 /bin/su

 8. 로그 및 확인 관련
- 확인 명령 -
# pam_tally2 -u appuser

- 초기화 명령 -
# pam_tally2 -r -u appuser

저작자표시 비영리 변경금지

'Linux > CentOS & RHEL' 카테고리의 다른 글

[압축] zstd를 통한 tar 파일 압축  (0) 2020.07.09
[yum] yum 인스톨 시 패키지만 다운로드 할 경우  (0) 2020.07.09
[Tip] ‘/root/.gvfs’: Permission denied 조치방법  (0) 2020.07.05
[tuned-adm] CPU Speed 관련 적용(throughput-performance)  (0) 2020.07.03
[리눅스] find 파일 디렉터리 찾기  (0) 2019.10.16
Posted by 짜꾸미의골골몽
|

티스토리툴바