[U-06] 사용자 계정 'su' 기능 제한

★ 주요정보통신기반시설 가이드 [U-06] 유닉스/리눅스 보안 설정

• 1. 항목 개요 및 보안 위협 (KISA 가이드)
• 2. UNIX 및 일반 리눅스 조치 방법 (wheel 그룹 활용)
• 3. 리눅스 PAM 모듈 이용 시 조치 방법
• 4. 관련 법령 및 지침 근거
• 5. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 한국인터넷진흥원 (KISA) 기술적 취약점 분석·평가 가이드

[ 점검 내용 ] : 'su' 명령어 사용 권한을 특정 그룹에만 부여하여 일반 사용자의 무분별한 관리자 권한 획득을 제한하고 있는지 점검

[ 보안 위협 ] : 별도의 제한이 없다면 모든 일반 계정이 'su' 명령어를 통해 'root'의 패스워드 무차별 대입 공격(Brute Force)을 시도할 수 있습니다. 권한을 가진 특정 인원만 'su' 명령을 실행할 수 있도록 통제하는 것이 필수적입니다.

 

2. UNIX 및 일반 리눅스 조치 방법

A. 권한 및 그룹 설정 점검

Step 1 : `wheel` 그룹 존재 여부와 `su` 파일 권한 확인

# wheel 그룹 확인
grep 'wheel' /etc/group

# su 명령어 권한 확인
ls -l /usr/bin/su

B. 보안 설정 적용 (실습)

만약 설정이 되어 있지 않다면 아래 순서대로 적용합니다.

# 1. wheel 그룹 생성
groupadd wheel

# 2. su 명령어의 그룹을 wheel로 변경
chgrp wheel /usr/bin/su

# 3. 권한 변경 (SetUID 포함 4750 부여)
# 소유자(root)는 실행, 그룹(wheel)은 실행 가능, 일반 사용자는 접근 불가
chmod 4750 /usr/bin/su

# 4. 허용할 사용자 추가
usermod -G wheel [사용자계정]

 

3. 리눅스 PAM 모듈 이용 시 조치 방법

최신 리눅스 환경에서는 PAM(Pluggable Authentication Modules)을 통해 더욱 강력하게 제어합니다.

Step 1 : '/etc/pam.d/su' 파일 수정

설정 파일 내에서 'pam_wheel.so' 모듈 관련 주석을 제거하거나 추가합니다.

# 파일 내용 수정 (vi /etc/pam.d/su)
auth required pam_wheel.so use_uid
# 또는 특정 그룹명을 지정할 경우
auth required pam_wheel.so group=wheel

Step 2 : 'wheel' 그룹 계정 등록

`/etc/group` 파일을 직접 수정하여 계정을 등록할 수도 있습니다.

# /etc/group 수정 예시
wheel:x:10:root,admin,testuser

 

4. 관련 법령 및 지침 근거

• 정보통신망법 제28조 : 정당한 권한이 없는 자가 정보통신망에 침입하지 못하도록 하는 기술적·관리적 보호조치 규정
• 개인정보의 안전성 확보조치 기준 : '접근 권한의 관리' 항목에 의거하여 관리자 권한으로의 전환 프로세스를 엄격히 제한해야 함

 

5. 오늘 공부하며 정리한 핵심 포인트

• '4750' 권한의 의미 : 'SetUID' 비트(4)가 설정되어 있어 실행 시 root 권한을 잠시 빌려오되, '그룹(75)'과 '나머지(0)'의 권한을 차등 부여하여 보안성을 높입니다.
• PAM의 강력함 : 파일 권한뿐만 아니라 인증 모듈 차원에서 'wheel' 그룹이 아니면 패스워드 입력 기회조차 주지 않도록 설정하는 것이 현대적인 리눅스 보안입니다.
• 실무 팁 : 'wheel' 그룹에 너무 많은 사용자를 넣는 것도 보안 취약점이 됩니다. 반드시 필요한 소수 인원(System Admin 등)만 포함해야 합니다.

다음 공부 기록 예고 : [U-07] 불필요한 계정 제거