[보안취약점] U-45. 계정관리-root계정 su제한

■ 점검항목 설명

- su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에 포함되지 않은 일반 사용자의 su 명령 사용 차단

■ 위험성

- su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우

- root 권한을 얻기 위해 패스워드 무작위 공격, 패스워드 추측 공격을 시도하여 root 계정 패스워드 유출될 가능성 있음.

■ 점검기준

양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한되어 있는 경우

■ 점검방법

▷ PAM 모듈을 이용해 su 명령어 그룹을 제한

- 허용 그룹 su 설정 여부 확인

# cat /etc/pam.d/su

- su 명령어를 사용 가능한 그룹 및 실행 권한 확인

# ls -al /bin/su

- "wheel" 그룹 내 구성원 존재 여부 확인

# cat /etc/group

■ 대응방안

▷PAM 모듈을 이용한 설정 방법

Pluggable Authentication Module 

1. /etc/pam.d/su 파일을 아래와 같이 설정(주석 제거)

# vi /etc/pam.d/su 

auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so debug group=wheel 또는

auth sufficient /lib/security/$ISA/pam_rootok.so
auth required /lib/security/$ISA/pam_wheel.so use_uid

2. Group 생성 (생성할 그룹 요청, 일반적으로 wheel 사용)

# groupadd wheel

3. wheel 그룹에 su 명령어를 사용할 사용자 추가 

# usermod -G wheel <사용자명>

4. su 명령어의 그룹을 su 명령할 그룹으로 변경

# chgrp wheel /usr/bin/su 

5. su 명령어의 권한 변경(4750)

# chmod 4750 /usr/bin/su