Linux su 인증 실패 문제 해결

LinuxBeginner
지금 연습하기

소개

Linux의 "su"(substitute user) 명령어는 사용자가 일시적으로 다른 사용자 계정(주로 root 사용자)으로 전환하여 관리 작업을 수행할 수 있게 해주는 강력한 도구입니다. 하지만 su 인증 실패가 발생하면 접근이 거부되거나 잠재적인 보안 위험이 초래될 수 있습니다. 이 튜토리얼에서는 Linux에서 su 인증 실패 문제를 해결하는 과정을 안내하며, 일반적인 원인, 구성 설정 및 안전한 su 사용을 위한 모범 사례를 다룹니다.

su 명령어 이해 및 기본 사용법

이 단계에서는 Linux의 su 명령어를 사용하여 현재 사용자 ID를 다른 사용자로 전환하는 방법을 배웁니다. 이는 높은 권한이 필요한 관리 작업을 수행할 때 매우 유용합니다.

su 명령어의 기본 사용법과 작동 원리를 살펴보겠습니다.

su의 기본 사용법

LabEx VM 환경에서 터미널을 엽니다. su 명령어는 다음과 같은 구문으로 사용할 수 있습니다.

su [options] [username]

사용자 이름을 지정하지 않고 su를 실행하면 기본적으로 root 사용자로 전환됩니다.

su

root 비밀번호를 입력하라는 메시지가 표시됩니다. 하지만 Ubuntu를 포함한 많은 최신 Linux 배포판에서는 보안상의 이유로 root 계정이 기본적으로 비활성화되어 있습니다.

연습을 위해 테스트 사용자를 생성해 보겠습니다.

sudo adduser testuser

메시지가 표시되면 필요한 정보를 입력합니다. 간단하게 이 테스트 사용자의 비밀번호를 "password"로 설정할 수 있습니다.

이제 이 사용자로 전환해 보겠습니다.

su testuser

메시지가 표시되면 testuser를 위해 생성한 비밀번호를 입력합니다. 인증이 완료되면 프롬프트가 변경되어 현재 testuser로 작업 중임을 나타냅니다.

사용자 전환이 성공했는지 확인하려면 다음을 실행합니다.

whoami

출력 결과는 다음과 같아야 합니다.

testuser

원래 사용자로 돌아가려면 단순히 다음을 입력합니다.

exit

옵션과 함께 su 사용하기

su 명령어는 여러 옵션을 지원합니다. 가장 일반적인 것은 전체 로그인 환경을 제공하는 - (하이픈) 옵션입니다.

su - testuser

이 옵션은 사용자 ID를 전환할 뿐만 아니라 다음 작업도 수행합니다.

  • 대상 사용자의 홈 디렉토리로 변경
  • 대상 사용자의 환경 변수 설정
  • 로그인 셸 제공

이 명령어를 실행하고 차이점을 관찰해 보세요.

pwd

출력 결과는 testuser의 홈 디렉토리를 보여줍니다.

/home/testuser

다음 명령어를 입력하여 testuser에서 나옵니다.

exit

su 명령어에 대한 이러한 기본적인 이해는 다음 단계에서 인증 실패 문제를 해결하는 데 도움이 될 것입니다.

일반적인 su 인증 실패 및 원인

이 단계에서는 일반적인 su 인증 실패 상황을 만들고 검사해 봅니다. 이러한 실패 원인을 이해하는 것이 문제 해결의 첫걸음입니다.

인증 실패 테스트

인증 실패를 의도적으로 발생시켜 더 잘 이해해 보겠습니다.

먼저, 잘못된 비밀번호로 testuser로 전환을 시도합니다.

su testuser

잘못된 비밀번호를 입력합니다. 다음과 유사한 오류 메시지가 표시됩니다.

su: Authentication failure

다음으로, 존재하지 않는 사용자로 전환을 시도합니다.

su nonexistentuser

다음과 같은 오류 메시지가 표시됩니다.

su: user nonexistentuser does not exist

인증 실패의 일반적인 원인

1. 잘못된 비밀번호

인증 실패의 가장 흔한 원인은 단순히 잘못된 비밀번호를 입력하는 것입니다. 이는 다음과 같은 이유로 발생할 수 있습니다.

  • 오타
  • Caps Lock이 켜져 있음
  • 비밀번호를 잊어버림

2. 계정 제한

일부 계정은 로그인을 방지하도록 구성되어 있거나 비밀번호가 만료되었을 수 있습니다.

이를 확인하기 위해 테스트 사용자를 수정해 보겠습니다.

sudo passwd -l testuser

이 명령은 testuser의 비밀번호를 잠급니다. 이제 다음을 시도해 보세요.

su testuser

올바른 비밀번호를 입력해도 인증 실패가 발생합니다.

다음 명령으로 계정 잠금을 해제합니다.

sudo passwd -u testuser

3. PAM 구성 문제

PAM(Pluggable Authentication Modules) 시스템은 Linux의 인증을 제어합니다. PAM 구성에 문제가 있으면 su 실패가 발생할 수 있습니다.

su 명령어에 대한 PAM 구성을 검사해 보겠습니다.

cat /etc/pam.d/su

이 파일에는 su 명령어와 관련된 PAM 구성이 포함되어 있습니다. 다음과 같이 접근을 제한할 수 있는 줄을 찾아보세요.

auth       required   pam_wheel.so

이 줄의 주석 처리가 해제되어 있으면 wheel 그룹 구성원만 su를 사용할 수 있도록 제한됩니다.

4. su 바이너리의 권한 문제

su 명령어의 바이너리 파일은 제대로 작동하기 위해 올바른 권한을 가져야 합니다.

ls -l $(which su)

출력 결과는 다음과 같아야 합니다.

-rwsr-xr-x 1 root root 71816 Apr 18  2022 /usr/bin/su

권한의 s는 setuid 비트가 설정되어 있음을 나타내며, 이를 통해 프로그램이 실행하는 사용자가 아닌 소유자(root)의 권한으로 실행될 수 있습니다.

5. 인증 로그 검사

이 LabEx VM에서 인증 실패 문제를 해결할 때는 lastb를 사용하여 실패한 로그인 기록을 확인합니다.

sudo lastb | head

이 명령어는 /var/log/btmp를 읽고 최근 실패한 인증 시도를 표시하며, 시스템에 기록된 실패한 su 시도도 포함됩니다.

예를 들어, 실패한 su 시도는 대상 사용자와 터미널 세션을 포함하는 항목으로 표시될 수 있습니다.

이러한 일반적인 su 인증 실패 원인을 이해하면 다음 단계에서 문제를 더 효과적으로 식별하고 해결할 수 있습니다.

su 명령어에 대한 접근 제어 구성

Linux는 누가 su 명령어를 사용할 수 있는지 제어하는 여러 메커니즘을 제공합니다. 이 단계에서는 보안을 강화하기 위해 이러한 접근 제어를 구성하는 방법을 알아봅니다.

PAM 구성 이해

PAM(Pluggable Authentication Modules) 시스템은 Linux의 인증을 담당합니다. su 명령어에 대한 구성은 /etc/pam.d/su 파일에 저장됩니다.

이 파일을 자세히 살펴보겠습니다.

cat /etc/pam.d/su

이 파일에는 인증 수행 방식을 제어하는 다양한 지시문이 포함되어 있습니다. 확인해야 할 중요한 줄은 다음과 같습니다.

auth       required   pam_wheel.so

이 줄의 주석 처리가 해제되어 있으면(앞에 #이 없으면) su 접근이 wheel 그룹 구성원으로 제한됩니다.

특정 그룹으로 su 접근 제한

su를 사용하여 root로 전환하는 권한을 특정 그룹의 구성원으로만 제한할 수 있습니다. 이는 일반적인 보안 관행입니다.

먼저 sugroup이라는 새 그룹을 생성합니다.

sudo groupadd sugroup

다음으로, 테스트 사용자를 이 그룹에 추가합니다.

sudo usermod -aG sugroup testuser

이제 PAM 구성을 수정하여 su 접근을 이 그룹의 구성원으로 제한해야 합니다.

sudo cp /etc/pam.d/su /etc/pam.d/su.bak

이제 nano 편집기에서 PAM 구성 파일을 엽니다.

sudo nano /etc/pam.d/su

다음과 유사한 줄을 찾습니다.

## auth       required   pam_wheel.so

이 줄의 주석 처리를 해제하고(앞의 ## 제거) wheel 대신 sugroup을 사용하도록 수정합니다.

auth       required   pam_wheel.so group=sugroup

Ctrl+O를 눌러 파일을 저장하고 Ctrl+X를 눌러 nano를 종료합니다.

구성 테스트

sugroup에 속하지 않은 사용자로 su를 사용하여 구성을 테스트해 보겠습니다.

먼저 다른 테스트 사용자를 생성합니다.

sudo adduser testuser2

메시지가 표시되면 필요한 정보를 입력합니다.

이제 testuser2를 사용하여 root 사용자로 전환을 시도합니다.

su - testuser2

메시지가 표시되면 testuser2의 비밀번호를 입력합니다.

이제 root 사용자로 전환을 시도합니다.

su -

올바른 root 비밀번호를 입력해도 인증 실패 메시지가 표시되어야 합니다. 이는 testuser2가 sugroup의 구성원이 아니기 때문입니다.

이제 원래 사용자로 돌아갑니다.

exit

이번에는 sugroup의 구성원인 testuser로 su를 사용해 봅니다.

su - testuser

메시지가 표시되면 testuser의 비밀번호를 입력합니다.

이제 root 사용자로 전환을 시도합니다.

su -

올바른 root 비밀번호를 입력하면 성공적으로 root 사용자로 전환할 수 있습니다.

변경 사항 되돌리기

이 실습의 나머지 부분을 완료하기 위해 PAM 구성을 원래대로 되돌립니다.

sudo cp /etc/pam.d/su.bak /etc/pam.d/su

이 구성을 통해 누가 su 명령어를 사용하여 root 사용자로 전환할 수 있는지 제어하여 시스템 보안을 강화할 수 있습니다.

su 인증 실패 문제 해결

이 단계에서는 체계적인 절차를 사용하여 su 인증 실패 문제를 해결합니다.

인증 실패 진단

su 인증 실패가 발생하면 다음 체계적인 단계에 따라 문제를 진단하십시오.

1단계: 오류 메시지 확인

오류 메시지는 실패의 성격에 대한 중요한 단서를 제공할 수 있습니다. 일반적인 오류 메시지는 다음과 같습니다.

  • su: Authentication failure - 일반적으로 잘못된 비밀번호를 나타냅니다.
  • su: user username does not exist - 지정된 사용자 계정이 존재하지 않습니다.
  • su: permission denied - 접근 제어 제한으로 인해 작업이 차단되었습니다.

2단계: 사용자 계정 확인

대상 사용자 계정이 존재하고 잠겨 있지 않은지 확인합니다.

grep testuser /etc/passwd

이 명령은 패스워드 파일에서 testuser 항목을 표시하여 계정이 존재함을 확인합니다.

계정이 잠겨 있는지 확인합니다.

sudo passwd -S testuser

출력 결과에 계정 상태가 포함됩니다. "L"(Locked)이라고 표시되면 계정이 잠긴 것입니다.

3단계: 접근 제어 제한 확인

이전 단계에서 배운 것처럼 PAM 구성이 su 접근을 제한할 수 있습니다. 이러한 제한 사항을 확인합니다.

grep -v "^#" /etc/pam.d/su | grep pam_wheel

이 명령이 pam_wheel.so를 포함하는 줄을 반환하면 su 접근이 특정 그룹의 구성원으로 제한될 수 있습니다.

4단계: 시스템 로그 검사

실패한 로그인 기록은 인증 실패에 대한 유용한 정보를 제공할 수 있습니다.

sudo lastb | head

실패한 su 시도와 관련된 항목을 찾아 추가적인 맥락을 파악하십시오.

일반적인 su 인증 실패 해결

이제 일반적인 su 인증 실패 사례와 해결 방법을 다룹니다.

1. 잘못된 비밀번호

올바른 비밀번호를 입력하는데도 인증 실패가 발생하면 비밀번호를 재설정해야 할 수 있습니다.

sudo passwd testuser

메시지가 표시되면 testuser의 새 비밀번호를 입력합니다.

2. 계정 잠김

계정이 잠겨 있으면 잠금을 해제합니다.

sudo passwd -u testuser

3. 접근 제어 제한

접근 제어 제한으로 인해 su 접근이 차단된 경우 다음 중 하나를 수행할 수 있습니다.

a. 사용자를 필요한 그룹에 추가:

sudo usermod -aG sugroup testuser2

이 명령은 testuser2를 sugroup에 추가합니다.

b. PAM 구성에서 관련 줄을 주석 처리하여 제한을 일시적으로 비활성화:

sudo sed -i 's/^auth\s\+required\s\+pam_wheel.so/#&/' /etc/pam.d/su

이 명령은 su PAM 구성에서 pam_wheel.so가 포함된 줄을 주석 처리합니다.

4. 파일 권한 문제

su 바이너리의 권한이 잘못된 경우 수정합니다.

sudo chmod u+s $(which su)

이 명령은 su 바이너리에 setuid 비트가 설정되도록 합니다.

수정 사항 테스트

수정 사항을 적용한 후 su 인증이 올바르게 작동하는지 테스트합니다.

su - testuser

메시지가 표시되면 testuser의 비밀번호를 입력합니다. 성공하면 testuser로 로그인되어야 합니다.

root 사용자로 전환을 시도합니다.

su -

root 비밀번호를 알고 있고 접근 제어 제한이 적절하게 처리되었다면 성공적으로 root 사용자로 전환할 수 있어야 합니다.

이러한 문제 해결 단계와 수정 사항은 가장 일반적인 su 인증 실패 문제를 해결합니다. 체계적으로 문제를 진단하고 해결함으로써 시스템에서 su 명령어가 올바르게 작동하도록 보장할 수 있습니다.

안전한 su 사용을 위한 모범 사례

이 단계에서는 su 명령어를 안전하게 사용하기 위한 모범 사례를 살펴봅니다. 이러한 관행을 따르면 보안 위험을 최소화하면서도 관리 작업을 효과적으로 수행할 수 있습니다.

가능한 경우 su 대신 sudo 사용

sudo 명령어는 일반적으로 su보다 더 안전하다고 간주됩니다. 이유는 다음과 같습니다.

  • 권한에 대한 더 세밀한 제어가 가능합니다.
  • 높은 권한으로 실행된 명령어를 기록합니다.
  • root 비밀번호를 공유할 필요가 없습니다.

su 대신 sudo를 사용하는 예:

## 다음 대신:
su -
## root로 명령어 입력

## 다음을 사용:
sudo command

이 예제를 시도해 보세요.

sudo ls /root

이 명령은 root 사용자로 전환하지 않고 root 권한으로 ls 명령어를 실행합니다.

sudo 접근 권한을 적절하게 구성

sudo가 필요한 권한만 부여하도록 올바르게 구성되었는지 확인합니다.

sudo visudo

이 명령은 안전한 편집기에서 sudoers 파일을 엽니다. 파일에는 다음과 유사한 항목이 포함되어야 합니다.

## User privilege specification
root    ALL=(ALL:ALL) ALL

## Members of the sudo group may gain root privileges
%sudo   ALL=(ALL:ALL) ALL

Ctrl+X를 눌러 변경 사항 없이 종료합니다.

직접적인 root 로그인 제한

특히 SSH를 통한 직접적인 root 로그인을 지양하십시오. 대신 사용자는 일반 계정으로 로그인하고 필요할 때 susudo를 사용해야 합니다.

SSH를 통한 직접적인 root 로그인이 비활성화되어 있는지 확인합니다.

grep "PermitRootLogin" /etc/ssh/sshd_config

결과가 PermitRootLogin no라면 직접적인 root 로그인이 적절하게 비활성화된 것입니다.

강력한 비밀번호 정책 구현

root 비밀번호와 su 접근 권한이 있는 사용자의 비밀번호가 강력한지 확인합니다.

sudo apt-get install -y libpam-pwquality

이 명령은 비밀번호 품질 검사를 위한 PAM 모듈을 설치합니다.

PAM 구성을 편집하여 비밀번호 정책을 구성합니다.

sudo nano /etc/pam.d/common-password

pam_pwquality.so가 포함된 줄을 찾아 다음과 같이 적절한 매개변수가 있는지 확인합니다.

password requisite pam_pwquality.so retry=3 minlen=12 difok=3

구성을 확인하는 중이므로 Ctrl+X를 눌러 변경 사항 없이 종료합니다.

정기적인 su 사용 감사

인증 실패 시도를 조사해야 할 때는 실패한 로그인 기록을 검토하십시오.

sudo lastb | head

이 명령은 /var/log/btmp에 기록된 최근 실패한 인증 시도를 보여줍니다.

공격의 징후일 수 있는 여러 번의 su 실패 시도에 대해 자동화된 경고를 설정하는 것을 고려하십시오.

대시 옵션을 사용하여 su 사용

su를 사용하여 다른 사용자(특히 root)로 전환할 때는 대시(-) 옵션을 사용하여 깨끗한 환경을 확보하십시오.

su - username

이 옵션은 대상 사용자의 환경 변수가 포함된 로그인 셸을 제공하며, 이는 더 안전하고 원래 사용자의 환경을 상속받음으로써 발생할 수 있는 잠재적인 문제를 방지합니다.

실습 세션 - 안전한 su 사용

이러한 모범 사례를 실습해 보겠습니다.

먼저, su -를 사용하여 root가 된 후 명령어를 실행하는 대신 sudo를 사용합니다.

## 다음 대신:
## su -
## cat /etc/shadow

## 다음을 사용:
sudo cat /etc/shadow

다음으로, 깨끗한 환경으로 testuser로 전환합니다.

su - testuser

그런 다음 원래 사용자로 돌아갑니다.

exit

마지막으로 실패한 로그인 기록을 확인합니다.

sudo lastb | head

이러한 모범 사례를 따르면 시스템에 대한 잠재적인 보안 위험을 최소화하면서 su 명령어를 안전하게 사용할 수 있습니다.

요약

이번 실습에서는 Linux의 su 명령어를 살펴보고 일반적인 인증 실패 문제를 해결하는 방법을 배웠습니다. 다룬 내용은 다음과 같습니다.

  1. su 명령어의 기본 사용법과 작동 원리 이해
  2. 잘못된 비밀번호, 계정 제한, PAM 구성 문제 등 su 인증 실패의 일반적인 원인 식별
  3. 보안 강화를 위한 su 명령어의 접근 제어 구성
  4. 체계적인 진단을 통한 su 인증 실패 문제 해결
  5. 가능한 경우 sudo 사용, 강력한 비밀번호 정책 구성, 정기적인 su 사용 감사를 포함한 안전한 su 사용을 위한 모범 사례 구현

이러한 기법과 모범 사례를 적용하여 Linux 시스템의 보안을 유지하면서 su 명령어가 올바르게 작동하도록 보장할 수 있습니다. 적절한 인증 관리는 시스템 관리 및 보안의 핵심 요소임을 기억하십시오.