루트 SSH 액세스를 제거하기 전에 SSH(보안 셸)로 사용할 수 있거나 보조 휠 그룹의 구성원인, 또는 이 둘 모두에 해당하는 로컬 관리자 계정을 생성해야 합니다.

이 태스크 정보

직접 루트 액세스를 사용하지 않도록 설정하기 전에 권한 있는 관리자가 AllowGroups를 사용하여 SSH에 액세스할 수 있는지와 휠 그룹과 su 명령을 사용하여 루트로 로그인할 수 있는지를 테스트해야 합니다.

프로시저

  1. 루트로 로그인하고 다음 명령을 실행합니다.
    # useradd -d /home/vropsuser -g users -G wheel –m
    # passwd username

    휠은 AllowGroups에서 SSH 액세스가 가능하도록 지정된 그룹입니다. 보조 그룹을 여러 개 추가하려면 -G wheel,sshd를 사용하십시오.

  2. 해당 사용자로 전환하고 암호 복잡성 검사를 통과하는 새 암호를 제공합니다.
    # su – username
    username@hostname:~>passwd
    

    암호 복잡성이 충족되는 경우 암호가 업데이트됩니다. 암호 복잡성이 충족되지 않으면 암호가 원래 암호로 되돌려지고, 이 경우 암호 명령을 다시 실행해야 합니다.

    SSH 원격 액세스를 허용하는 로그인 계정을 생성하고 su 명령을 사용하여 휠 액세스를 사용하는 루트로 로그인한 후에는 SSH 직접 로그인에서 루트 계정을 제거할 수 있습니다.

  3. (#)PermitRootLogin yesPermitRootLogin no로 대체하는 방식으로 /etc/ssh/sshd_config 파일을 수정하여 SSH에 대한 직접 로그인을 제거합니다.

다음에 수행할 작업

루트로 직접 로그인을 사용하지 않도록 설정합니다. 기본적으로, 강화된 어플라이언스에서는 콘솔을 통해 루트에 직접 로그인할 수 있습니다. 부인 방지를 위한 관리자 계정을 생성하고 휠 액세스가 가능한지에 대해 이러한 계정을 테스트(su-root)한 후에는 루트로 /etc/securetty 파일을 편집하고 tty1 항목을 console로 대체하여 직접 루트 로그인을 사용하지 않도록 설정합니다.