/etc/securetty 파일에서 root 로그인이 가능한 콘솔을 설정 한 뒤에, /etc/pam.d/login 파일에서 pam_securetty.so를 설정하는 방법은 가장 널리 알려진 리눅스 root 접속 보안 관련 권고사항입니다.
그럼 /etc/pam.d/login 파일에 있는 pam_securetty.so관련 설정에 대해서 한 번 확인 해 보겠습니다.
일반적으로는 아래와 같은 방식으로 설정하는 것을 권고합니다.
auth required pam_securetty.so
위의 옵션은 리눅스로 root계정으로 접속을 할 때, 유저가 접속을 하는 tty(콘솔)이 /etc/securetty 파일에 등록이 되어 있는지 확인을 진행합니다. 파일에 없는 tty일 경우 로그인은 'Login incorrect' 메시지와 함께 실패하게 됩니다.
그리고 간혹 기본설정으로 아래와 같이 설정 된 리눅스가 있습니다.
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
이 옵션은 고급문법이 사용된 경우 입니다. 단순히 required 플래그를 사용하였을 경우와 다른 점은 user_unknown 리턴 값 입니다. 즉 등록되지 않은 유저일 경우 무시되게 됩니다.
-
user_unknown: 유저가 인증모듈에 등록되지 않은 경우
-
success: 성공
-
ignore: 이 리턴값은 무시됨
-
default: 정확한 리턴값들이 없을 경우
required의 경우는 [success=ok new_authtok_reqd=ok ignore=ignore default=bad] 와 동일한 문법입니다.
* new_authtok_reqd: 인증 토큰이 유효하지 않은 경우
참고문헌
2.2. PAM Configuration Files Red Hat Enterprise Linux 6 | Red Hat Customer Portal
The Red Hat Customer Portal delivers the knowledge, expertise, and guidance available through your Red Hat subscription.
access.redhat.com
http://wpollock.com/AUnix2/PAM-Help.htm
PAM Tutorial
Many interactive commands are security sensitive. An obvious example is passwd used to change a user's password. Such commands require users to authenticate themselves even though they have successfully logged in to the system. Also many server daemo
wpollock.com
'리눅스 > Security' 카테고리의 다른 글
| CentOS 8: sssd를 통한 커버로스(Kerberos) 인증 사용 (0) | 2021.04.28 |
|---|---|
| 리눅스(Linux): SSL 인증서(certificate) 상세정보 및 만료일 확인하기 (0) | 2021.02.02 |