Linux Part 8. 리눅스 접근 제어

사용자 로그인 관련 명령어

su - [사용자명]

su - root : 입력한 사용자의 초기화파일 적용

su root : 현재 사용자의 환경을 유지, 사용자 초기화파일 적용X

​

who : 접속 정보

who am i : 현재 터미널에 대한 접속 정보

whoami : 로그인 명

​

last : /var/log/wtmp 파일을 참조하여 로그인 했던 정보를 출력

​

​

PAM(Pluggable Authentication Modules) : 시스템에 공통적인 인증방법을 제공하는 모듈 (보안 설정 내용을 쉽게 추가, 제거가 가능)

PAM

- 모듈의 종류는 다양하며 각각 모듈의 기능을 파악하는 것이 중요

- 프로그램이 사용자 인증이 필요하면 PAM 라이브러리를 호출

-> PAM 라이브러리는 호출되면 호출한 응용프로그램의 설정 파일을 검사, 설정 파일의 내용에 맞는 PAM 모듈을 적용 (없으면 기본 파일)

-> 설정 파일은 사용자 인증을 검사하기 위해 필요한 유형을 가짐

​

파일 형식

Module_type : PAM이 어떤 타입의 인증을 사용할 것인지를 지정

auth : 사용자 인증에 사용하며 올바른 패스워드인지 아닌지 확인

account : 계정 관리를 수행, 사용자의 위치, 시간, 권한 등을 지정하여 접근을 결정

password : 사용자가 패스워드를 변경할 수 있는 모듈 지정

session : 사용자가 인증 받기 전후에 수행되어야 할 작업을 지정

​

Config_flag : PAM에서 사용되는 모듈들이 결과에 따라 어떤 동작을 취할 지 결정

required : 이 모듈이 성공값을 반환해야 최종 인증에 성공 (실패 시 밑 설정 다시 확인)

requisite : 이 모듈이 성공값을 반환해야 최종 인증에 성공 (실패 시 최종 인증 실패)

sufficient : 이 모듈이 성공값을 반환하면 바로 인증 성공

optional : 선택사항, 다른 플래그에 의한 최종 결과가 불분명할 시 값 적용

include : 다른 설정 파일을 불러옴

​

Module_path : /usr/lib64/security 디렉토리 내의 어떤 모듈을 사용할 지 지정

​

Module_argument : 모듈에 전달되는 매개변수 값을 나타냄

debug : 시스템 로그 파일에 디버그 정보를 남기게 함

no_warn : 모듈이 경고 메시지를 보내지 않게 함

​

실습

접속 환경 설정 (GNOME desktop 로그인 환경에서 root 계정의 로그인이 되지 않도록)

vi /etc/pam.d/gdm-password

auth required pam_succeed_if.so uid >= 1000

​

그룹 사용자 설정 1 (wheel 그룹에 있는 사용자라면 믿을 수 있는 사용자여서 패스워드를 물어보지 않는다)

vi /etc/pam.d/su

auth sufficient pam_wheel.so trust use_uid

​

그룹 사용자 설정 2 (wheel 그룹에 있는 사용자만 로그인하여 접속 가능케)

auth required pam_wheel.so use_uid

​

시간대 설정 (평일 9시 반부터 18시 반까지 주말 이용 불가)

# 먼저 원격 설정을 위해 네트워크 설정을 해주자.

( /etc/sysconfig/network-scripts/ifcfg-ens33 ONBOOT=yes 설정 후 systemctl restart network.service)

vi /etc/pam.d/sshd

account required pam_time.so

vi /etc/security/time.conf

sshd;*;root;!Wk0900-1700 (sshd : 서비스, * : 터미널 장치, root : 계정, ! : 반대로 Wk0900-1700 : 접속 허용 시간)