서버 보안을 강화하기 위해 PermitRootLogin no 설정을 적용하면, root 계정으로 직접 SSH 접속이 차단됩니다. 이 경우 GPFS(IBM Spectrum Scale)를 운영하기 위해 sudo를 활용해야 합니다. 이번 글에서는 GPFS에서 PermitRootLogin이 "No"로 설정된 경우 Sudo를 이용한 운영 방법을 정리해 보겠습니다.
사전작업
gpfsadmin계정 gpfs 그룹 생성
# id gpfsadmin
uid=208(gpfsadmin) gid=202(gpfs)1. Sudo 구성 및 설정
1) Sudo 설치
GPFS에서 sudo를 사용하려면 먼저 패키지를 설치해야 합니다.
sudo-1.8.15-1noldap.aix6.1.ppc.rpm2) sudoers 파일 수정
visudo 명령어를 사용하여 /etc/sudoers 파일을 편집합니다.
root ALL=(ALL) ALL
Defaults env_keep += "MMMODE environmentType GPFS_rshPath GPFS_rcpPath mmScriptTrace GPFSCMDPORTRANGE GPFS_CIM_MSG_FORMAT"
%gpfs ALL=(ALL) PASSWD: ALL, NOPASSWD: /usr/lpp/mmfs/bin/mmremote, /usr/bin/scp, /bin/echo, /usr/lpp/mmfs/bin/mmsdrrestore
Defaults:%gpfs !requiretty⚠️ 중요:
- IBM Storage Scale 5.1.0 이상에서는 scp, echo, mmsdrrestore를 sudoers에 추가할 필요 없음
- GPFS 관련 환경 변수를 유지하도록 Defaults env_keep 설정 추가
3) sudoers 파일 권한 변경 (보안 설정 필수)
sudoers 파일 수정 후 보안을 위해 읽기 전용으로 설정해야 합니다.
chmod 0440 /etc/sudoers잘못된 권한 설정 시 sudo가 정상적으로 동작하지 않을 수 있습니다.
2. SSH 및 SCP 래퍼 스크립트 테스트
IBM Spectrum Scale에서는 원격 쉘 실행을 위한 sudo 래퍼 스크립트(sshwrap, scpwrap)를 제공합니다. 정상적으로 동작하는지 확인해야 합니다.
1) sshwrap 테스트
sudo /usr/lpp/mmfs/bin/mmcommon test sshwrap nodeName출력 예시:
mmcommon test sshwrap: Command successfully completed2) scpwrap 테스트
sudo /usr/lpp/mmfs/bin/mmcommon test scpwrap nodeName출력 예시:
mmcommon test scpwrap: Command successfully completed이 과정에서 문제가 발생하면 sudoers 설정이 올바르게 적용되었는지 다시 확인해야 합니다.
3. GPFS 클러스터 설정 및 운영
1) 신규 클러스터 생성 (PermitRootLogin no 환경에서)
GPFS 클러스터를 새로 생성할 경우 --use-sudo-wrapper 옵션을 추가해야 합니다.
sudo /usr/lpp/mmfs/bin/mmcrcluster --use-sudo-wrapper -N /home/gpfsadmin/node.txt -C aix72 -A2) 기존 클러스터를 sudo 래퍼 방식으로 변경
이미 운영 중인 클러스터가 있다면, 아래 명령어로 sudo 래퍼를 적용할 수 있습니다.
sudo /usr/lpp/mmfs/bin/mmchcluster --use-sudo-wrapper3) 설정 확인
GPFS 클러스터가 sudo 래퍼를 정상적으로 사용하는지 확인하려면 다음 명령어를 실행합니다.
sudo /usr/lpp/mmfs/bin/mmlscluster4) CCR 설정 변경 (필요 시)
일부 환경에서는 ccrEnabled 값을 변경해야 할 수도 있습니다.
sudo /usr/lpp/mmfs/bin/mmchcluster ccrdisable정리 및 결론
- PermitRootLogin no 설정 시 GPFS 운영자는 root 계정 대신 sudo를 활용해야 함
- /etc/sudoers 파일을 수정하고 권한을 0440으로 변경하여 보안 강화
- GPFS 환경 변수 유지 설정 추가 (Defaults env_keep 설정 활용)
- IBM Spectrum Scale sudo 래퍼(sshwrap, scpwrap) 정상 작동 여부 확인 필수
- 기존 클러스터는 --use-sudo-wrapper 옵션을 사용하여 sudo 방식으로 변환 가능
💡 Tip: mmlscluster 실행 결과에서 "sudo 래퍼 설정이 적용됨" 문구를 꼭 확인하세요! 🚀
#mmlscluster
GPFS cluster information
========================
GPFS cluster name: rpodbd_cluster.rpodbd01
GPFS cluster id: 5439007699037552173
GPFS UID domain: rpodbd_cluster.rpodbd01
Remote shell command: sudo wrapper in use
Remote file copy command: sudo wrapper in use
Repository type: CCR
'IT > aix' 카테고리의 다른 글
| IBM GPFS(Spectrum Scale) 파일시스템 제거 방법 (0) | 2025.02.26 |
|---|---|
| gpfs 파일시스템 증설 (0) | 2020.12.28 |
| PowerHA 시 Interface is not configured in AIX 에러 발생 시 (0) | 2020.11.12 |
| aix 6.1.9.3 -> 6.1.9.12 SP update (0) | 2020.11.02 |
| nmon 사용법 및 cron (0) | 2018.12.03 |
