Beschränken Sie su auf eine Gruppe von Benutzern

tag-icon tag-icon su
Beschränken Sie su auf eine Gruppe von Benutzern

Gibt es eine Möglichkeit, die Beschränkung suauf eine bestimmte Benutzergruppe vorzunehmen?

Bei meiner Suche im Internet stieß ich auf das Konzept von IBM AIX sugroup. Immer wenn ein Benutzer erstellt wird, sugroupkann ein Attribut festgelegt werden. Nur Mitglieder dieser Gruppe dürfen auf diesen Benutzer zugreifen.

sugroupkann mir helfen, mein Problem zu lösen, indem ich eine Gruppe erstelle, die nur bestimmte Benutzer enthält, die su verwenden dürfen. Zuweisen sugroupbedeutet, dass Benutzer außerhalb dieser Gruppe nicht von anderen Benutzern verklagt werden dürfen. Dieses Konzept sugroupist jedoch in Ubuntu nicht verfügbar. Wie kann es in Ubuntu erreicht werden?

Ich habe folgenden Eintrag gemacht in /etc/pam.d/su:

auth required pam_wheel.so group=sulogin

Ich habe folgendes erstellt:

  • eine Gruppe namens sulogin, die für Benutzer bestimmt ist, die
  • Benutzer, die nicht dazugehören, suloginsind user1unduser2
  • Benutzer, die dazugehören, suloginsind admin1undadmin2

Wenn ich jetzt als angemeldet bin user1und versuche, mit su nach admin1oder admin2zu wechseln, ist mir das nicht gestattet. Das entspricht meiner Anforderung. Wenn ich als angemeldet bin user1und versuche, mit su nach zu wechseln user2, ist mir das nicht gestattet. Das entspricht nicht meiner Anforderung (obwohl meine Anforderungen in der ursprünglichen Frage nicht klar erwähnt wurden).

Ich muss alle Benutzer, die nicht zur Gruppe gehören, sulogindaran hindern, sich gegen Benutzer zu wenden, die zur suloginGruppe gehören. Grundsätzlich gibt es zwei Su-Berechtigungsstufen. Im oben genannten Szenario gilt also:

  • user1sollte in der Lage sein, suund user2umgekehrt
  • user1oder user2sollte nicht in der Lage sein, suzu admin1oderadmin2
  • admin1sollte in der Lage sein su, user1oderuser2

Antwort1

Das Äquivalent ist unter Ubuntu möglich, es ist nur standardmäßig nicht aktiviert. Schauen Sie sich an /etc/pam.d/su:

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Heben Sie also das Kommentarzeichen aus dieser authZeile auf, dann suerfolgt die Beschränkung auf Mitglieder der Gruppe root. Oder heben Sie das Kommentarzeichen auf und fügen Sie hinzu group=sulogin, wenn Sie die Beschränkung auf die Gruppe wünschen sulogin.

verwandte Informationen