리눅스 특정계정 su 명령에 제한

리눅스 시스템에서 모든 사용자 계정에 대하여 su 명령어를 이용하여 root 계정으로 로그인하는것은 보안상 좋지 못하다.
그렇다고 해서 무조건 su 명령어를 막을수도 없다. 필요에 의해 사용자가 su 명령어를 통해서 root 권한으로 무엇인가를 해야할때가 필요하기 때문이다.

이럴때에는 특정 계정에 대해서만 su 명령어가 가능하게끔 보안설정을 하면 된다.

일단 리눅스 기본설정에서는 전체 계정에 대하여 su 명령어 사용이 가능하다.
모든 사용자 계정에 대하여 su 명령어 권한을 막은뒤, 특정 계정에 대해서만 su 명령어 권한을 주자.

1. 모든 사용자 계정에 대하여 su 명령어 막기.

// 만약의 사태에 대비하여 백업파일 생성  [root@tourWeb1 ~]# cp /etc/pam.d/su su20140901  [root@tourWeb1 ~]# vi /etc/pam.d/su  ...  // 아래 부분 주석을 해제  auth           required   pam_wheel.so use_uid  ...

2. su 명령어 권한을 줄 계정을 wheel 그룹에 추가.

[root@tourWeb1 ~]# /etc/group  ...  wheel:x:10:root, tour  ...

위의 내용을 모두 마무리한뒤 wheel 그룹에 등록한 사용자와 그렇지 않은 사용자로 각각 로그인 한 후 su 명령어를 입력하여 테스트 해본다.