IT/aix

GPFS에서 PermitRootLogin "No" 설정 시 조치 방법

Itlee 2025. 2. 26. 17:32
반응형

서버 보안을 강화하기 위해 PermitRootLogin no 설정을 적용하면, root 계정으로 직접 SSH 접속이 차단됩니다. 이 경우 GPFS(IBM Spectrum Scale)를 운영하기 위해 sudo를 활용해야 합니다. 이번 글에서는 GPFS에서 PermitRootLogin이 "No"로 설정된 경우 Sudo를 이용한 운영 방법을 정리해 보겠습니다.

사전작업

gpfsadmin계정 gpfs 그룹 생성

# id gpfsadmin
uid=208(gpfsadmin) gid=202(gpfs)

 

1. Sudo 구성 및 설정

1) Sudo 설치

GPFS에서 sudo를 사용하려면 먼저 패키지를 설치해야 합니다.

sudo-1.8.15-1noldap.aix6.1.ppc.rpm

2) sudoers 파일 수정

visudo 명령어를 사용하여 /etc/sudoers 파일을 편집합니다.

root    ALL=(ALL) ALL
Defaults env_keep += "MMMODE environmentType GPFS_rshPath GPFS_rcpPath mmScriptTrace GPFSCMDPORTRANGE GPFS_CIM_MSG_FORMAT"
%gpfs ALL=(ALL) PASSWD: ALL, NOPASSWD: /usr/lpp/mmfs/bin/mmremote, /usr/bin/scp, /bin/echo, /usr/lpp/mmfs/bin/mmsdrrestore
Defaults:%gpfs !requiretty

⚠️ 중요:

  • IBM Storage Scale 5.1.0 이상에서는 scp, echo, mmsdrrestore를 sudoers에 추가할 필요 없음
  • GPFS 관련 환경 변수를 유지하도록 Defaults env_keep 설정 추가

3) sudoers 파일 권한 변경 (보안 설정 필수)

sudoers 파일 수정 후 보안을 위해 읽기 전용으로 설정해야 합니다.

chmod 0440 /etc/sudoers

잘못된 권한 설정 시 sudo가 정상적으로 동작하지 않을 수 있습니다.

2. SSH 및 SCP 래퍼 스크립트 테스트

IBM Spectrum Scale에서는 원격 쉘 실행을 위한 sudo 래퍼 스크립트(sshwrap, scpwrap)를 제공합니다. 정상적으로 동작하는지 확인해야 합니다.

1) sshwrap 테스트

sudo /usr/lpp/mmfs/bin/mmcommon test sshwrap nodeName

출력 예시:

mmcommon test sshwrap: Command successfully completed

2) scpwrap 테스트

sudo /usr/lpp/mmfs/bin/mmcommon test scpwrap nodeName

출력 예시:

mmcommon test scpwrap: Command successfully completed

이 과정에서 문제가 발생하면 sudoers 설정이 올바르게 적용되었는지 다시 확인해야 합니다.

3. GPFS 클러스터 설정 및 운영

1) 신규 클러스터 생성 (PermitRootLogin no 환경에서)

GPFS 클러스터를 새로 생성할 경우 --use-sudo-wrapper 옵션을 추가해야 합니다.

sudo /usr/lpp/mmfs/bin/mmcrcluster --use-sudo-wrapper -N /home/gpfsadmin/node.txt -C aix72 -A

2) 기존 클러스터를 sudo 래퍼 방식으로 변경

이미 운영 중인 클러스터가 있다면, 아래 명령어로 sudo 래퍼를 적용할 수 있습니다.

sudo /usr/lpp/mmfs/bin/mmchcluster --use-sudo-wrapper

3) 설정 확인

GPFS 클러스터가 sudo 래퍼를 정상적으로 사용하는지 확인하려면 다음 명령어를 실행합니다.

sudo /usr/lpp/mmfs/bin/mmlscluster

4) CCR 설정 변경 (필요 시)

일부 환경에서는 ccrEnabled 값을 변경해야 할 수도 있습니다.

sudo /usr/lpp/mmfs/bin/mmchcluster ccrdisable

정리 및 결론

  • PermitRootLogin no 설정 시 GPFS 운영자는 root 계정 대신 sudo를 활용해야 함
  • /etc/sudoers 파일을 수정하고 권한을 0440으로 변경하여 보안 강화
  • GPFS 환경 변수 유지 설정 추가 (Defaults env_keep 설정 활용)
  • IBM Spectrum Scale sudo 래퍼(sshwrap, scpwrap) 정상 작동 여부 확인 필수
  • 기존 클러스터는 --use-sudo-wrapper 옵션을 사용하여 sudo 방식으로 변환 가능

💡 Tip: mmlscluster 실행 결과에서 "sudo 래퍼 설정이 적용됨" 문구를 꼭 확인하세요! 🚀

#mmlscluster
GPFS cluster information
========================
  GPFS cluster name:         rpodbd_cluster.rpodbd01
  GPFS cluster id:           5439007699037552173
  GPFS UID domain:           rpodbd_cluster.rpodbd01
  Remote shell command:      sudo wrapper in use
  Remote file copy command:  sudo wrapper in use
  Repository type:           CCR

 

반응형
저작자표시 비영리 변경금지