Restringir su a um grupo de usuários

tag-icon tag-icon su
Restringir su a um grupo de usuários

Existe alguma maneira de restringir sua um grupo específico de usuários?

Ao pesquisar na web, me deparei com o conceito de sugroup. Sempre que um usuário é criado, o atributo sugrouppode ser definido; e apenas os membros deste grupo têm permissão para enviar su para esse usuário.

sugrouppode me ajudar a resolver meu problema criando um grupo que contém apenas alguns usuários com permissão para su. Atribuir sugroupsignifica que usuários fora deste grupo não podem ser processados ​​por outros usuários. Mas este conceito sugroupnão está disponível no Ubuntu. Como isso pode ser alcançado no Ubuntu?

Fiz a seguinte entrada em /etc/pam.d/su:

auth required pam_wheel.so group=sulogin

Eu criei o seguinte:

  • um grupo chamado suloginque é para usuários com permissão para su
  • usuários que não pertencem a suloginsão user1euser2
  • os usuários aos quais pertencem suloginsão admin1eadmin2

Agora, quando estou logado como user1e tento su para admin1ou admin2, não tenho permissão para fazer isso. Isso está de acordo com minha exigência. Quando estou logado como user1e tento su to user2, não tenho permissão para fazer isso. Isso não atende aos meus requisitos (embora meus requisitos não tenham sido claramente mencionados na pergunta original).

Preciso restringir todos os usuários que não estão no grupo suloginde processar qualquer usuário que pertença ao sulogingrupo. Basicamente, 2 níveis de privilégio su. Portanto, no cenário mencionado acima:

  • user1deveria ser capaz de sufazer user2e vice-versa
  • user1ou user2não deveria ser sucapaz admin1ouadmin2
  • admin1deveria ser capaz sude user1ouuser2

Responder1

O equivalente é possível no Ubuntu, mas não está habilitado por padrão. Confira /etc/pam.d/su:

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Então, descomente esta authlinha, então suela ficará restrita aos membros do grupo root. Ou remova o comentário e adicione group=sulogin, se quiser restringir ao sulogingrupo.

informação relacionada