솔라리스 11 (Solaris 11) 설치 후 root 로그인 허용하기

taeho9
운영체제
2014. 10. 1.

Sun Microsystems가 Oracle에 인수 합병된 후 국내 시장에서 Sun 서버의 시장 점유율은 체감적으로 형편없이 떨어졌습니다. 여러 고객사에 방문해 보면 기존에 Sun 서버를 사용하던 고객들도 대부분 IBM이나 HP로 돌아서는 분위기 였고 실제 서버보안SW를 설치하는 경우에도 Sun 서버는 기존에 Sun 서버를 주로 사용하던 고객사 이외에는 더 이상 Sun 서버를 도입하지 않는 분위기로 바뀐지 오래입니다.

게다가 최근에는 아마존의 클라우드 서비스인 AWS가 또 하나의 주류로 등장하면서 AWS에 최적화 되어 있는 Linux (아마존 자체리눅스, 우분투 등)와 Windows를 주로 사용하면서 Solaris의 입지는 더 줄어든 형국입니다.

하지만 노트북이나 조립서버에서 유닉스 환경의 데모나 테스트를 진행할 때는 그나마 인텔계열 CPU를 지원하는 상용 유닉스가 유일하게 Sun 뿐이기 때문에 일부 시연이나 테스트를 하기위해 Sun을 버리기는 조금 이릅니다. (하지만 버려야 하는 시기가 임박했음을 부인할 수는 없습니다.)

그러다 보니 VMWare에 Solaris 11을 설치해야 하는 상황이 생겼습니다.

솔라리스를 설치하는 과정에서 일반 계정을 하나 생성하라고 강제합니다. 그리고 기존의 설치 과정에서 root 계정의 비밀번호를 초기화(생성)해주던 과정은 사라졌습니다. 아마도 비밀번호가 없는 상태로 root 계정이 만들어지고 root 계정으로는 아무도 직접 로그인하지 못하도록 합니다. (콘솔에서도 로그인 불가)

이렇게 root 계정을 표면적으로 사용하지 못하도록 하는 것은 보안을 강화하기 위한 조치로 보입니다. 하지만 root를 직접 사용해야 하는 경우가 있기 때문이 root 계정을 직접 로그인할 수 있도록 설정하는 방법을 기록해 두고자 합니다.

솔라리스에는 Role이라는 독특한 보안 개념을 적용합니다. 그리고 root 계정을 직접 로그인하지 못하는 root Role로 지정합니다. 이러한 root Role에 대한 설정은 다음과 같이 /etc/user_attr 이라는 파일에서 설정합니다.

root 의 타입을 일반 계정이 아닌 role로 선언함으로써 실제 사용자 계정이 아닌 Role(역할)로 선언합니다. 하지만 이것은 실질적인 보화를 위한 보호대책이라고 할 수는 없습니다. 엄연히 실제로 root 계정은 존재하고 주요 작업을 하기 위해서는 root 계정으로 Switch User를 해야하기 때문입니다.

위에서와 같이 운영체제 설치 과정에 생성한 계정(여기서는 castle) 계정의 맨 뒤에 roles 부분에 root를 지정합니다. 이렇게 되면 castle 이라는 사용자로 로그인한 뒤 sudo 명령을 통해 root 패스워드를 입력하지 않고 root 계정으로 SU가 가능합니다.

흔히 이것이 보안을 강화하는 방법이라고 생각하는 경우가 많습니다. 하지만 서버에 직접 root 계정으로 로그인하는 것 만을 차단할 뿐 실질적인 보안강화 효과는 없다고 보는 것이 옳습니다. 어차피 sudo 명령을 통해 root 로 전환한다면 전환 권한을 가진 계정의 비밀번호가 탈취되면 root 계정이 탈취되는 것과 동일하기 때문입니다. 게다가 castle 계정에서 root 계정으로 sudo를 통해 비밀번호 입력 과정없이 전환이 되는 치명적인 보안문제가 남게 됩니다.

어쨌든... root 계정의 비밀번호를 초기화(생성)하고 root 를 role이 아닌 계정으로 변경해야만 su - root 명령을 통해 root로 전환하거나 콘솔에서 root로 로그인할 수 있습니다.

다음과 같이 root 패스워드를 변경합니다.