본문 바로가기

Linux

[CentOS 6.5] SSH 설정 변경 및 일반 계정 만들기

1. SSH 설정 변경
$ vi /etc/ssh/sshd_config
 #Port 22 -> Port 8666(8000번대 임의로 설정
#PermitRootLogin yes -> PermitRootLogin no (SSH Root 다이렉트 로그인을 방지하기 위한 설정)
이렇게 설정하려는 이유는 아무리 보안포트라고해도 기본적으로 22번으로 되어 있다면 이미 외부에 노출되어 있다.
접근 IO와 모든 방화벽에 허용처리되어 있고 비밀번호만이 되면 서버에 마음대로 접속할 수 있게 된다. 그래서 자신이 서버관리자라면 본인만 아는 포트나 바로 root로 접속되는 걸 원천적으로 막는게 좋다 





$ vi /etc/sysconfig/iptables

◈ SSH 포트를 변경하였으니 다음 접속을 위해 방화벽에 변경한 포트를 허용해 준다.



$ service iptables restart (방화벽 재 시작 후)
◈ $ iptables -nL 으로 정상적으로 적용되었는 지 확인한다.

2. 일반 계정 만들기
$ useradd 계정명
$passwd 계정명 패스워드입력
$cat /etc/passwd 또는 vi /etc/passwd 제대로 추가되었는지 확인
◈ 추가하는 이유는 우리가 다이렉트로 ROOT 접속하는걸 막았기 때문에 로그인할 일반계정을 만들기 위해서이다.


3. su 명령어 실행권한 제한
$ chown root:wheel /bin/su

$ chmod 4750 /bin/su
$ ls -al | grep su 
◈ 위와 같이 정상 변경 되었는 지 확인한다.


$ vi /etc/group
◈ wheel:x:10: 란 부분이 원래 공백이다. wheel 그룹에 일반 계정 만들었던 걸 추가한다. 그래야 일반계정으로 원격 접속 후 su 명령어 입력하여 root로 전환할 수 있다.


4. Selinux 비활성화 하기

◈ "Selinux는 "Security Enhanced Linux"의 약자로 기본의 리눅스보다 뛰어난 보안 정책을 제공한다. 하지만 너무 뛰어난 나머지 활성화 되어 있을 경우 보안 문제로 막혀서 안되는 부분이 많이 발생한다. 그래서 왠만하면 대부분이 비활성화를 한다. 위에 루트계정으로 바로 접속하는 걸 막고 일반계정으로 접속되게 설정한 후에 원격접속을 끊고 다시 접속해보면 서버에서 거부한다.

그게 "Selinux"가 적용되어 안되는 부분이다. 

$ vi /etc/sysconfig/selinux

SELINUX=enforcing -> disabled로 변경한다.



◈ "Selinux"는 재부팅해야 적용이 된다.

$ reboot


◈그리고 콘솔창에 재부팅이 되면 정상적으로 적용되었는지 접속 확인



◈ 일반 계정으로 접속 후

$ su - root 입력하여 최상위 관리자로 전환


*참고 : http://comet42.tistory.com/entry/%EB%A6%AC%EB%88%85%EC%8A%A4-%EC%84%A4%EC%B9%98%ED%9B%84-%EC%B4%88%EA%B8%B0%EC%84%A4%EC%A0%95%ED%95%B4%EC%95%BC-%ED%95%A0-%EA%B2%83%EB%93%A42