사용자 로그인의 하위 집합으로만 제한하는 su것은 보안을 강화하는 좋은 방법처럼 들립니다. 그것이 pam_wheel목적입니다.
예
루트 계정에는 기본적으로 접근 권한이 부여되며(rootok) Wheel 구성원만 루트(wheel)가 될 수 있지만 Unix에서는 루트가 아닌 지원자를 인증합니다.
su auth sufficient pam_rootok.so su auth required pam_wheel.so su auth required pam_unix.so
systemd-run(및 페이지에 언급된 machinectl대로 ) 루트로 명령을 실행할 수 있습니다. man인증/권한 부여를 위해 PolicyKit을 사용합니다. PAM 세션은 열리지 않습니다.
그렇다면... 이제 대규모 배포판에서는 기본적으로 systemd를 사용하므로 systemd이러한 방법에 대한 pam_wheel의 동등한 구성은 무엇입니까?
전체 강화의 경우 이는 일부 다른 서비스에 적용될 수 있습니다. 특정 libvirt 작업은 루트로만 수행할 수 있습니다. 그래서 기본적으로 이것이 Docker와 크게 다르지 않다고 생각합니다. 요청된 소켓 파일을 읽는 Docker 데몬에 대한 액세스 권한을 부여하는 것은 루트 액세스와 동일하며 작업이 거의 필요하지 않습니다.
pam_wheel만큼 설정하기가 간단하지 않은 경우 이를 적용할 수 있는 편리한 자동화가 있습니까? 개인적으로 저는 일부 자동화를 위해 Ansible을 사용했지만 예제로 사용할 수 있는 스크립트에 관심이 있습니다.