Есть ли возможность ограничить suдоступ определенной группы пользователей?
Поискав в Интернете, я наткнулся на концепцию IBM AIX sugroup. Всякий раз, когда создается пользователь, sugroupможет быть установлен атрибут; и только члены этой группы могут выполнять su для этого пользователя.
sugroupможет помочь мне решить мою проблему, создав группу, содержащую только определенных пользователей, которым разрешено su. Назначение sugroupозначает, что пользователи вне этой группы не могут быть su-ваны другими пользователями. Но эта концепция sugroupнедоступна в Ubuntu. Как этого можно достичь в Ubuntu?
Я сделал следующую запись в /etc/pam.d/su:
auth required pam_wheel.so group=sulogin
Я создал следующее:
- группа,
suloginкоторая называется , для пользователей, которым разрешено su - пользователи, которые не принадлежат к
suloginиuser1user2 - пользователи , которые принадлежат к
suloginиadmin1admin2
Теперь, когда я вошел в систему как user1и пытаюсь выполнить su to admin1или admin2, мне не разрешено это сделать. Это соответствует моим требованиям. Когда я вошел в систему как user1и пытаюсь выполнить su to user2, мне не разрешено это сделать. Это не соответствует моим требованиям (хотя мои требования не были четко указаны в исходном вопросе).
Мне нужно ограничить всех пользователей, которые не входят в группу, suloginот su-ing любому пользователю, который входит в suloginгруппу. По сути, 2 уровня привилегий su. Итак, в вышеупомянутом сценарии:
user1должен уметь иsuнаоборотuser2user1илиuser2не должен быть вsuсостоянииadmin1илиadmin2admin1должен быть вsuсостоянииuser1илиuser2
решение1
Эквивалент возможен в Ubuntu, просто он не включен по умолчанию. Проверьте /etc/pam.d/su:
# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
Итак, раскомментируйте эту authстроку, тогда suона будет ограничена членами группы root. Или раскомментируйте и добавьте group=sulogin, если вы хотите ограничить ее группой sulogin.