우리는 NIS 서비스를 사용하여 사용자를 Unix 계정에 로그인합니다. 우리는 사용자가 직접 운영 체제를 설치하고 루트 액세스 권한을 얻는 테스트 시스템을 보유하고 있습니다. 사용자는 루트 계정에서 NIS 사용자 계정으로 su를 비밀번호 없이 사용하며, 쉽게 다른 NIS 계정에 침입할 수 있습니다. 이 옵션을 제한할 수 있는 방법이 있나요? 루트 사용자가 다른 사용자의 nis 계정에 로그인하는 것을 허용하고 싶지 않습니다.
답변1
예, 이 동작을 제한할 수 있는 방법이 있습니다. su의 이러한 동작은 PAM 모듈(플러그형 인증 모듈)에 의해 제어됩니다.
편집해야 합니다./etc/pam.d/su
이 줄에 주석을 달아주세요:
auth sufficient pam_rootok.so
이와 같이:
#auth sufficient pam_rootok.so
그 후, 루트 아래의 su는 사용자의 비밀번호를 묻습니다.