저작권자 : 루미넌스
인터넷을 통한 서비스를 위하여 설치된 서버에는 반드시 OS설치시부터 관리자 계정(root 또는 administrator)이 만들어져 있다. 이 계정의 권한은 직원이라 하더라도 함부로 알려줘서는 안되며, 관리자 권한이 필요한 업무를 보는 사람에게, 제한적으로 권한을 수행할 수 있도록 허용하는 보안정책이 필요하다. 작업용 공용계정을 사용하는 경우도 마찬가지이다.(하지만 작업용 공용계정을 없애는것이 보안의 첫걸음이다.)
이 기능을 훌륭히 수행해주는 sudo의 사용법에 대하여 요약해 보았다.
인터넷을 통한 서비스를 위하여 설치된 서버에는 반드시 OS설치시부터 관리자 계정(root 또는 administrator)이 만들어져 있다. 이 계정의 권한은 직원이라 하더라도 함부로 알려줘서는 안되며, 관리자 권한이 필요한 업무를 보는 사람에게, 제한적으로 권한을 수행할 수 있도록 허용하는 보안정책이 필요하다. 작업용 공용계정을 사용하는 경우도 마찬가지이다.(하지만 작업용 공용계정을 없애는것이 보안의 첫걸음이다.)
이 기능을 훌륭히 수행해주는 sudo의 사용법에 대하여 요약해 보았다.
sudo
- 개발, 운영 등의 작업을 수행함에 있어, 로그인계정 외의 다른 계정의 권한이 요구될 때, 그 계정을 직접 사용하지 않고(혹은, 패스워드를 알아내지 않고), 본인의 로그인계정의 인증을 통해 해당 계정의 권한으로 작업을 수행할 수 있다.
- 용법
- 가장 간단한 방법은 sudo <command>이다. 이렇게 하면 <command>에 적은 쉘커맨드가 root권한으로 수행된다.
- root 계정이 아닌 다른 계정의 권한이 필요한 경우엔, sudo -u username <command> 로 수행하면 username 계정의 권한으로 <command>를 수행한다.
- sudo -u #uid <command> 와 같이 uid값을 사용할 수도 있다.
- 이 유저를 Runas user라고 한다.
- sudo로 su - (root계정의 로그인쉘 얻기)를 수행한 예
sudoers
- sudo를 사용하여 권한을 부여할 구체적인 설정을 하는 파일이 ''sudoers'' 파일이다. 시스템에 따라 약간씩 위치는 다르나, 이 파일을 편집할 권한을 얻으면 시스템의 모든 권한을 얻을 수도 있기 때문에 매우 높은 보안 레벨로 보호되어야 한다.
- sudo su - 또는 sudo visudo등의 커맨드를 허용하는 것은 매우 신중해야 한다.
- 이 파일의 편집은 visudo 명령을 실행하여 편집한다. visudo의 기본 편집기(보통은 vi 또는 nano)가 sudoers파일을 열은채로 실행된다.
- visudo가 사용할 기본 편집기 역시 sudoers파일에 설정할 수 있다.
- 각 Alias 설정은 문자열 단위로 매치시키기 때문에 주의깊게 작성해야 한다.
- sudo /usr/bin/su 는 가능하나, cd /usr/bin; sudo ./su는 불가능할 수 있다.
How to Write sudoers
- Alias 정의 섹션, Default 정의 섹션, Privilege정의 섹션으로 나누어 볼 수 있다.
- 라인당 하나의 정의
- Aliases
- Alias에는 User_Alias, Runas_Alias, Host_Alias, Cmnd_Alias의 4가지 Alias_Type이 있다.
- 모든 Alias에 대해 ALL은 항상 매치되는 와일드카드로 미리 정의되어 있다(아래 예제 참조)
- 각 Alias는 NAME = LIST의 형태로 만든다.
- NAME은 알파벳 대문자로 시작하여야 하고, 두번째 글자부터는 알파벳 대소문자와 숫자, 언더스코어문자('_')를 쓸 수 있다.
- LIST는 콤마(,)로 구분되고 공백은 무시된다.
- LIST의 item앞에 '!'(negate operator)를 쓰면 리스트에서 해당 아이템만을 배제시킨다.
예:[CODE]ALL, !/bin/su # "/bin/su를 제외한 모두"라는 의미
ALL, !!/bin/su # "모두"의 의미, 짝수번 negate 의미 없다.[/CODE] - 같은 종류의 Alias는 콜론(:)으로 묶을 수 있다. 다른 라인에 새로운 정의로 포함시킬수도 있다.
- Alias는 다음과 같은 형태가 된다.
- Alias_Type NAME = item1, item2, item3, item4
- Alias_Type NAME = item1, item2, item3 : Name = item4, item5
- User_Alias
- sudo 권한을 적용할 유저의 집합을 정의한다.
- (sudoer 그룹명) = (List of login names)
- 유저명 대신 %<group> 을 사용할 수도 있다.
- 예: %admin # admin 그룹에 속하는 모든 유저
- Runas_Alias
- 어떤 유저 또는 그룹의 권한으로 명령을 수행할지를 지정할 수 있다.
- 정의 방법은 User_Alias와 동일하나, #<uid> 의 형태도 사용할 수 있다.
- 주의: root와 #0은 동일한 유저이지만, 문자열 매치를 하기 때문에 다른 것으로 간주된다. root, %0도 마찬가지.
- Host_Alias
- hostname, IP address, Network address, 다른 Host_Alias를 묶어 호스트 집합을 만들 수 있다.
- Cmnd_Alias
- 권한을 허용할 커맨드를 나열하여 집합으로 만든다.
- 커맨드는 full path로 적는다. 디렉토리명을 커맨드로 지정할 수 있다. 디렉토리를 지정하면 그 디렉토리이하의 모든 커맨드에 대해 허용된다.
- Defaults : 권한 부여의 기본 옵션을 지정한다.
- 라인당 하나의 Default_Entry를 정의 한다.
- Default_Entry는 Default_Type Parameter_List로 정의한다.
- Default_Type는 다음의 4가지 정의 방법이 있다.
- Defaults
- Defaults@Host_Alias
- Defaults:User_Alias
- Defaults>runas_username
- Parameter_List는 Parameter의 리스트를 적는다. Parameter는 다음과 같은 형태가 있다.
- flag
- !flag
- flag=value
- flag+=value
- flag-=value
- other Parameter_Lists
- 여기서는 유용한 몇개 flag만 소개한다. 자세한 flags는 SUDOERS(5)를 참조한다 (이말을 쓰기 싫어서 작성한 문서에 쓸수 밖에 없다니;;;)
- lecture: 앞절의 예제 이미지와 같이 타인의 권한으로 수행할때 기억해야 할 것에 대한 짧은 경고문.
lecture=(never, once, always 중 하나) - lecture_file: lecture를 보여줄 때, 이 파일을 보여준다.
lecture_file=(full path of lecture_file) - timestamp_timeout: sudo를 수행한 후 다시 수행할 때, 패스워드를 다시 물어볼지를 결정하는 타임아웃값. 0이면 항상 물어본다.
timestamp_timeour=(분 단위 정수) - editor: visudo에서 사용할 기본 에디터
editor=(/usr/bin/vim 등의 에디터 full path) - passwd_tries: 비밀번호를 틀렸을 경우 다시 물어보는 횟수.
passwd_tries=(정수) - passwd_timeout: 비밀번호 입력대기시간 타임아웃값. 0이면 무한정 기다린다.
passwd_timeout=(분 단위 정수) - fqdn: Host 이름에 Fully Qualified Domain Name을 사용할 것인지의 여부. 이 플래그를 사용하면, sudo수행시에 hostname을 DNS에 쿼리한다.
fqdn (또는 !fqdn) - set_logname: runas user(타겟 유저라고도 함)의 LOGNAME과 USER 환경변수값을 가져오지 않고 현재 값을 유지한다.
set_logname (또는 !set_logname)
- lecture: 앞절의 예제 이미지와 같이 타인의 권한으로 수행할때 기억해야 할 것에 대한 짧은 경고문.
- User privilege specification
- 앞서 정의한 Alias들의 조합으로 권한을 부여한다.
- User_Alias (Host_Alias) = Cmnd_Alias의 형태로 정의한다.
- Tag_Spec과 Runas_Spec을 사용하는 방법은 역시 SUDOERS(5)를 참조한다. (또.;; 그치만 많이 써본적은 없으므로 필요할때 읽어볼 것.)
sample
- 가장 소극적인 보안책으로 사용할수 있는 sudoers 예제
[CODE type=config]# 아무런 Alias를 정의하지 않고,
# admin group에 속한 계정 전체에 대해서
# 모든 커맨드를 root권한으로 수행할수 있도록 허용함
# sudo를 사용하기 위해서 항상 패스워드를 물어본다.
# Host alias specification
# User alias specification
#Cmnd alias specification
# Defaults
Defaults lecture=always,tty_tickets,!fqdn,timestamp_timeout=0,editor=/usr/bin/vi
# User privilege specification
root ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
[/CODE] - 다양한 용법과 문법의 예
[CODE type=config]# User alias specification
# 3가지의 유저셋을 정의한다.
User_Alias FULLTIMERS = millert, mikef, dowdy
User_Alias PARTTIMERS = bostley, jwfox, crawl
User_Alias WEBMASTERS = will, wendy, wim
# Runas alias specification
# 2가지 Runas 유저셋을 정의한다.
Runas_Alias OP = root, operator
Runas_Alias DB = oracle, sybase
# Host alias specification
# 4가지 호스트셋을 정의한다.
# IP/NETMASK 지정방법, 호스트명 지정방법의 예가 모두 나와있다.
Host_Alias CUNETS = 128.138.0.0/255.255.0.0
Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0
Host_Alias SERVERS = master, mail, www, ns
Host_Alias CDROM = orion, perseus, hercules
# Cmnd alias specification
# 커맨드셋을 정의한다.
Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\
/usr/sbin/restore, /usr/sbin/rrestore
Cmnd_Alias KILL = /usr/bin/kill
Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown
Cmnd_Alias HALT = /usr/sbin/halt
Cmnd_Alias REBOOT = /usr/sbin/reboot
Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \
/usr/local/bin/tcsh, /usr/bin/rsh, \
/usr/local/bin/zsh
Cmnd_Alias SU = /usr/bin/su
# Override built-in defaults
# 기본 옵션을 지정한다.
# lecture를 항상 보여준다. fqdn 사용하지 않는다. 3분내에 다시 sudo하면 패스워드를 물어보지 않는다. visudo의 편집기로 /usr/bin/vi를 사용한다.
Defaults lecture=always,!fqdn,timestamp_timeout=3,editor=/usr/bin/vi
# runas user가 root가 될때는 set_logname 하지 않는다.
# 즉, root 의 환경을 가져오지 않는다
Defaults>root !set_logname
# FULLTIMER에게는 lecture를 보여주지 않는다.
Defaults:FULLTIMERS !lecture
# SERVERS에서는 패스워드 입력을 1분내로 해야 한다. sudo 로그 파일을 별도로 지정한다.
Defaults@SERVERS passwd_timeout=1, logfile=/var/log/sudo.log
# User privileges
# root도 sudo를 수행할 수 있다.
root ALL = (ALL) ALL
# wheel그룹에 속한 모든 유저는 sudo를 통해 모든 명령을 수행할 수 있다.
%wheel ALL = (ALL) ALL
# FULLTIMERS에게는 패스워드를 물어보지 않는다.
FULLTIMERS ALL = NOPASSWD: ALL
# PARTTIMERS에게는 패스워드를 물어본다.
PARTTIMERS ALL = ALL
# operator에게는 패스워드를 물어보고, 지정된 커맨드셋을 허용한다.
operator ALL = DUMPS, KILL, SHUTDOWN, HALT, REBOOT, PRINTING,\
sudoedit /etc/printcap, /usr/oper/bin/
# joe는 operator가 될수 있다.
joe ALL = /usr/bin/su operator
# fred는 DB 유저권한이 필요할때에만 패스워드를 물어보지 않고 모든 권한이 허용된다.
fred ALL = (DB) NOPASSWD: ALL
# john은 SERVERS호스트셋에서 옵션없이 su를 수행할 수 있다. su에 옵션을 줄수 없고 root로의 su는 불허한다.
john SERVERS = /usr/bin/su [!-]*, !/usr/bin/su *root*
# jen은 SERVERS호스트셋을 제외한 모든 호스트에서 모든 권한을 패스워드를 물어본후 얻을 수 있다.
jen ALL, !SERVERS = ALL
[/CODE]
참고
man pages; SUDO(8), VISUDO(8), SUDOERS(5)'Information' 카테고리의 다른 글
sink / source (0) | 2008.10.08 |
---|---|
[펌]풀업 (0) | 2008.10.08 |
전용회선(T1, E1) (0) | 2008.04.23 |
_vimrc (0) | 2008.04.19 |
멱등(Idempotent) (0) | 2008.03.17 |