Normaler Benutzer, der su macht

Normaler Benutzer, der su macht

Ich verwende Ubuntu Server 12.04. Wenn ein Benutzer nur Mitglied seiner eigenen Gruppe ist, warum kann er dann trotzdem su SOME_OTHER_USER ausführen? Kann ich das verhindern?

Antwort1

Ich habe eine Lösung gefunden, die mir sehr gut gefällt:

  1. sudo groupadd nosu
  2. sudo usermod -a -G nosu BENUTZERNAME
  3. sudo vi /etc/pam.d/su
  4. Zeile auskommentieren:

Authentifizierung erforderlich pam_wheel.so deny group=nosu

Antwort2

Wenn Sie nicht möchten, dass ein Benutzer „su“ ausführen kann, können Sie den Eigentümer auf „root“ und den chmod auf 700 setzen. Dann kann es nur noch root ausführen.

Wenn Sie möchten, dass Benutzer einer speziellen Gruppe „su“ ausführen, können Sie die Gruppe dieser Gruppe beispielsweise auf „wheel“ setzen. Und den chmod auf 770. Und fügen Sie alle Benutzer, die „su“ ausführen müssen, der Wheel-Gruppe hinzu.

Antwort3

Mir fallen zwei offensichtliche Erklärungen ein:

  1. Der Benutzer behält noch immer einen Login, der erstellt wurde, bevor er aus einer Gruppe entfernt wurde, die ihm Berechtigungen erteilte
  2. Der Benutzer ist explizit in /etc/sudoers aufgeführt.

verwandte Informationen