[Linux] 특정 그룹만 su 권한 부여 하기

배경

• su 명령어 사용 권한을 특정 그룹에게만 부여하여 보안을 강화함
• 필자의 경우 wheel 그룹과 su 를 사용하는 그룹을 분리해야 할 필요가 있어 별도의 그룹을 만들어 su 권한을 부여함
• 일반적인 경우 pam_wheel.so 의 기본값인 wheel 그룹을 이용하는 것을 권장함

작업방법

• /etc/pam.d/su 수정
• su를 사용할 그룹 생성
• 사용자 계정에 su 그룹 추가

작업

1. /etc/pam.d/su 수정

• "auth required pam_wheel.so use_uid group=su" 항목 추가
• 이 예제는 "su" 라는 그룹에 속한 사용자만 su 명령어를 사용할 수 있도록 함
• group=su 부분을 명시하지 않으면 기본적으로 wheel 그룹을 대상으로 함

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            required        pam_wheel.so use_uid group=su

auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so

 

pam_wheel.so group=su

 

2. su 그룹 추가

groupadd su

 

3. 사용자 계정에 su 그룹 추가

usermod -a -G su kwlee

이제 "su" 그룹에 속한 계정만 su 명령어를 이용할 수 있다.

 

4. 그럼 wheel 그룹은?

• 이렇게 설정하면 su 그룹만 su 를 사용할 수 있고 wheel 그룹은 su 를 사용할 수 없다
• 하지만 sudo su 를 이용할 수 있고
• 또는 필요한 계정에 su 그룹을 추가해 줘도 된다.