현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

su root시에 비밀번호가 틀렸다고 나옵니다.

persona의 이미지
글쓴이: persona / 작성시간: 화, 2003/12/02 - 11:01오후

레드햇 9 배포판사용합니다.

1. 서버 보안에 관한 문서를 읽으면서 무엇인가를 변경했습니다.(기억이 안납니다.) 아마..wheel과 관련했던거 같습니다.

2. 1. '[root@localhost]$ su test' 로 일반 유저로 작업을 했습니다.

2. 2. 다시 su 명령어로 루트로 돌아갈려고 하니 비밀번호가 틀렸다고 합니다.

3. 그래서 혹시나 하고 SecureCRT로 저장된 정보로 접속을 하면 루트 계정으로 접속이 잘 됩니다.(원래 루트로 바로 접속하게 되었더군요.)

4. 비밀번호를 정확하게 몇번이나 바꿔주고(3번 방법으로 접속해서) 2번 상황을 다시 연출해도 역시 안되더군요.

5. 3번 이유로 루트계정으로 접속을 바로 하지 못하게 하려다가 이 지경이 되어버렸습니다.

친절하신 답변부탁합니다.

Quote:

1. 어떻게 해야 일반 유저모드에서 su 해도 비번을 변경가능할까요?
2. 어떻게 하면 root권한으로 바로 접속을 못하게 막을 수 있죠?
Forums: 
설치 및 활용 QnA
verotas의 이미지

글쓴이: verotas / 작성시간: 화, 2003/12/02 - 11:43오후

Quote:

1. 어떻게 해야 일반 유저모드에서 su 해도 비번을 변경가능할까요?
2. 어떻게 하면 root권한으로 바로 접속을 못하게 막을 수 있죠?

글이 조금 난해하긴 하지만, 제가 이해한 대로 설명을 해보겠습니다.

1. su 했고 비밀번호도 제대로 친거 같은데 안된다면

wheel 어쩌구를 건드리셨다고 하니 필시 su 바이너리나 pam 설정을 바꾸셨던 거군요. su 를 실행하는 사용자 이름이 wheel 그룹에 등록이 돼 있는지 보시고, 만약 등록이 돼 있는데 안되는 거라면 뭐가 잘못 됐나 찬찬히 찾아서 원상복구를 하는 수밖에 없습니다. 전문가의 도움을 받으세요 :-) 혹시 전문가를 찾기가 더 어려울지 모르지 체크해 봐야할 파일을 일단 적어봅니다.

/etc/passwd
/etc/group
/bin/su
/etc/pam.d/su

2. ssh라면 root 접속을 막아야할 이유가 별로 없긴 하지만, 꼭 막고 싶다면 /etc/pam.d/sshd 맨 위에

auth       required     pam_securetty.so

이라고 덧붙이면 됩니다.

3. 끝으로, sudo 사용을 고려해 보세요. 세상이 달라 보입니다. :-)

The good is the enemy of the best.

persona의 이미지

글쓴이: persona / 작성시간: 수, 2003/12/03 - 1:18오전

답변 감사드립니다.

말씀해주신 4번째 파일 제가 건드린게 맞네용. 근데 어느 줄을 건드린건지 잘 모르겠네요. :D :P

Quote:
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
session required /lib/security/$ISA/pam_stack.so service=system-auth
session optional /lib/security/$ISA/pam_xauth.so

2. 레드햇 AS 3을 한번 깔아본적이 있는데, 거기서는 ssh로도 root접속을 막아뒀더군요. 그래서 여쭤본거구요.

3. sudo가 그리 좋은가요? ^^; 한번 찾아봐야겠습니다.

3번은 한번 더 답변 주시면 정말 감사하겠습니다. 지금 현재 제 su 파일 내용입니다.

좋은 하루되세요. ^^

verotas의 이미지

글쓴이: verotas / 작성시간: 목, 2003/12/04 - 2:37오전

persona wrote:
답변 감사드립니다.

말씀해주신 4번째 파일 제가 건드린게 맞네용. 근데 어느 줄을 건드린건지 잘 모르겠네요. :D :P

Quote:
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
session required /lib/security/$ISA/pam_stack.so service=system-auth
session optional /lib/security/$ISA/pam_xauth.so

2. 레드햇 AS 3을 한번 깔아본적이 있는데, 거기서는 ssh로도 root접속을 막아뒀더군요. 그래서 여쭤본거구요.

3. sudo가 그리 좋은가요? ^^; 한번 찾아봐야겠습니다.

3번은 한번 더 답변 주시면 정말 감사하겠습니다. 지금 현재 제 su 파일 내용입니다.

좋은 하루되세요. ^^

A/S 까지 요청을 하시다니 ^^;;

# Uncomment the following line to require a user to be in the "wheel" group.
auth required /lib/security/$ISA/pam_wheel.so use_uid

이 부분이 원래 코멘트 처리돼 있는데 지우신 거 같습니다. 다시 코멘트로 만들어 주세요.

하나만 힌트를 더 드리자면, 이럴 경우 rpm -qf /etc/pam.d/su 해서 패키지를 알아내고 (RH 9는 coreutils 군요), 그런 다음 rpm -V coreutils 해서 확인해보고, 변경된게 맞다면 그냥 강제 재설치 하세요. 그럼 깔끔하겠죠.

그리고 sudo는 뭐... 저도 얘기만 듣고 안 쓰길 석삼년 하다가 어느날 문득 생각나서 해보니 정말 좋더라 그런 거라서, 그냥 한번 써보시는게 제일 빠를 겁니다. 최근에 어디서 본 말이지만, "어떤 것은 설명할 수 없고 단지 경험할 수 있을 뿐이"죠. 기본적인 시스템 보안에 대해 관심이 있는 분인 것 같아 추천해 드리는 거니 믿고 한번 시도해 보세요. 시간 들인 보답이 분명히 있을 것입니다. 아니면 저한테 와서 따지세요. ^^

The good is the enemy of the best.

sorcerer의 이미지

글쓴이: sorcerer / 작성시간: 목, 2003/12/04 - 8:53오전

Quote:
2. 레드햇 AS 3을 한번 깔아본적이 있는데, 거기서는 ssh로도 root접속을 막아뒀더군요. 그래서 여쭤본거구요

Quote:
A/S 까지 요청을 하시다니 ^^;;

저 AS는 Advanced Server 같은데요? ^^;;;

SOrCErEr

verotas의 이미지

글쓴이: verotas / 작성시간: 목, 2003/12/04 - 9:49오전

sorcerer wrote:
Quote:
2. 레드햇 AS 3을 한번 깔아본적이 있는데, 거기서는 ssh로도 root접속을 막아뒀더군요. 그래서 여쭤본거구요

Quote:
A/S 까지 요청을 하시다니 ^^;;

저 AS는 Advanced Server 같은데요? ^^;;;

pun intended 를 깜박 잊고 안 적었습니다. :-)

The good is the enemy of the best.

persona의 이미지

글쓴이: persona / 작성시간: 목, 2003/12/04 - 11:04오전

두분 A/S 모두 감사합니다. ^^;
하나씩 배워가는 재미가 있네요.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.