보통 보안이라는 측면에서 본다면
root 의 직접적인 로그인 허용은 위험하다.
물론 내가 운영하는 AIX에서 root 에 대한 rlogin 이나 ssh permitrootlogin 을 막아놓는다.
그런데 어제 운영하는 서버중 root 의 직접접근을 허용해야하는 일이 생겼음.
AIX6.1 TL8 이였고 TL9 로 올리는 작업을 위해
permitrootlogin을 주석처리하여 default 인 상태로 두었다.
ssh 의 permitrootlogin 의 기본 설정은 PermitRootLogin=yes 와 동일하며 이는 root 가 ssh 에 직접 접근이 가능하다는 의미,
그렇게 파일을 모두 올리고, TL을 업그레이드 한 이후에 root 가 접근이 안되는 것이였다.
openssh 는 7 버전 이상으로 올려져 있었기에, 이 부분을 의심하고 openssh 의 release notes 를 봤음
https://www.openssh.com/releasenotes.html
* The default for the sshd_config(5) PermitRootLogin option has changed from "yes" to "prohibit-password". * PermitRootLogin=without-password/prohibit-password now bans all interactive authentication methods, allowing only public-key, hostbased and GSSAPI authentication (previously it permitted keyboard-interactive and password-less authentication if those were enabled).
default 설정이 yes 에서 prohibit-password 로 변경되었다는 것을 알게 되었고,
ssh 는 더 강력크하게 스스로를 보안을 높였다.
prohibit-password 는 말그대로 비밀번호 입력에 대한 로그인을 막는 것이고 이는
public key 를 이용한 방법을 통해서는 아무런 문제 없이 root 의 직접 접근이 가능하다.
이는 어쩌면 permitrootlogin=no 보다는 다소 보안성은 떨어지나, cluster 환경간에 root 계정이 ssh 를 통해 통신해야하는 상황이나, 이와 유사한 상황에서는 유연성 있게
대처할 수 있는 방법일 것 같다.
'IT > AIX' 카테고리의 다른 글
| unix/linux 소유자가 없는 파일들 찾기 (0) | 2019.05.22 |
|---|---|
| Spectrum scale(formerly GPFS) (0) | 2019.05.22 |
| AIX에서의 LVM(VGDA) (0) | 2019.05.22 |
| AIX 에서의 LVM(LVM 개념) (0) | 2019.05.22 |
| ssh 콘피그 (0) | 2019.05.22 |