su특정 사용자 그룹으로 제한하는 방법이 있나요 ?
웹을 검색하다가 IBM AIX의 sugroup. 사용자가 생성될 때마다 속성이 sugroup설정될 수 있습니다. 이 그룹의 구성원만이 해당 사용자에게 su할 수 있습니다.
sugroupsu가 허용된 특정 사용자만 포함하는 그룹을 생성하면 문제를 해결하는 데 도움이 될 수 있습니다. 할당이란 sugroup이 그룹 외부의 사용자가 다른 사용자에 의해 고소당하는 것이 허용되지 않음을 의미합니다. 하지만 우분투에서는 이 개념을 sugroup사용할 수 없습니다. 우분투에서는 어떻게 달성할 수 있나요?
나는 다음 항목을 작성했습니다 /etc/pam.d/su.
auth required pam_wheel.so group=sulogin
나는 다음을 만들었습니다:
suloginsu가 허용된 사용자를 위한 그룹- 속하지 않은 사용자는 다음 과
sulogin같습니다 .user1user2 - 속한 사용자는 다음 과
sulogin같습니다 .admin1admin2
이제 로 로그인하여 또는 user1로 로그인하려고 하면 그렇게 할 수 없습니다. 이것은 내 요구 사항에 따른 것입니다. 으로 로그인하여 을(를) 시도 하면 이 작업을 수행할 수 없습니다. 이것은 내 요구 사항에 따른 것이 아닙니다(내 요구 사항이 원래 질문에 명확하게 언급되지는 않았지만).admin1admin2user1user2
그룹에 속하지 않은 모든 사용자가 그룹 sulogin에 속한 사용자에게 고소하는 것을 제한해야 합니다 sulogin. 기본적으로 2가지 수준의 su 권한이 있습니다. 따라서 위에서 언급한 시나리오에서는 다음과 같습니다.
user1su할 수 있어야user2하고 그 반대도 가능해야 합니다.user1아니면 할user2수 없어야 하거나suadmin1admin2admin1su할 수 있거나 할 수 있어야user1합니다user2
답변1
Ubuntu에서는 이에 상응하는 기능이 가능하지만 기본적으로 활성화되어 있지 않습니다. 확인해 보세요 /etc/pam.d/su:
# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
따라서 이 auth줄의 주석을 해제하면 su그룹의 구성원으로 제한됩니다 root. 또는 group=sulogin그룹으로 제한하려면 주석을 해제하고 추가하세요 sulogin.