Restringir su a un grupo de usuarios

tag-icon tag-icon su
Restringir su a un grupo de usuarios

¿Hay alguna forma de restringir sua un grupo específico de usuarios?

Al buscar en la web, encontré el concepto de IBM AIX de sugroup. Cada vez que se crea un usuario, sugroupse puede establecer un atributo; y sólo los miembros de este grupo pueden acceder a ese usuario.

sugroupPuede ayudarme a resolver mi problema creando un grupo que contenga solo ciertos usuarios autorizados a suscribirse. Asignar sugroupsignifica que los usuarios fuera de este grupo no pueden ser demandados por otros usuarios. Pero este concepto sugroupno está disponible en Ubuntu. ¿Cómo se puede lograr en Ubuntu?

Hice la siguiente entrada en /etc/pam.d/su:

auth required pam_wheel.so group=sulogin

Creé lo siguiente:

  • un grupo llamado suloginque es para usuarios autorizados a su
  • usuarios que no pertenecen a suloginson user1yuser2
  • los usuarios que sí pertenecen suloginson admin1yadmin2

Ahora, cuando inicio sesión user1e intento acceder a admin1o admin2, no puedo hacerlo. Esto es según mi requisito. Cuando inicio sesión user1e intento iniciar sesión user2, no tengo permiso para hacerlo. Esto no cumple con mis requisitos (aunque mis requisitos no se mencionaron claramente en la pregunta original).

Necesito restringir que todos los usuarios que no están en el grupo suloginpuedan demandar a cualquier usuario que pertenezca al sulogingrupo. Básicamente, 2 niveles de privilegio. Entonces, en el escenario mencionado anteriormente:

  • user1debería poder suhacerlo user2y viceversa
  • user1o user2no debería poder suhacerlo admin1oadmin2
  • admin1debería poder suouser1user2

Respuesta1

El equivalente es posible en Ubuntu, pero no está habilitado de forma predeterminada. Verificar /etc/pam.d/su:

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Por lo tanto, descomente esta authlínea y suquedará restringida a los miembros del grupo root. O descomente y agregue group=sulogin, si desea restringirlo al sulogingrupo.

información relacionada