Я использую Ubuntu server 12.04. Если пользователь является членом только своей собственной группы, почему он все равно может делать su SOME_OTHER_USER? Могу ли я предотвратить это?
решение1
Я нашел решение, которое мне очень нравится:
- sudo groupadd nosu
- sudo usermod -a -G nosu ИМЯ ПОЛЬЗОВАТЕЛЯ
- sudo vi /etc/pam.d/su
- раскомментируйте строку:
требуется аутентификация pam_wheel.so запретить группу=nosu
решение2
Если вы не хотите, чтобы пользователь мог выполнить «su», вы можете установить его владельцем «root» и chmod на 700. Тогда только root сможет выполнить его.
Если вы хотите, чтобы пользователи специальной группы выполняли "su", вы можете установить для нее группу, скажем, "wheel". И chmod на 770. И поместить всех пользователей, которым нужно выполнить "su", в группу wheel.
решение3
Я могу придумать два очевидных объяснения:
- Пользователь по-прежнему сохраняет логин, созданный до того, как пользователь был удален из группы, предоставляющей привилегии.
- Пользователь явно указан в /etc/sudoers