Я хочу, чтобы пользователи могли использовать «sudo su -», но не могли переключать пользователя по паролю.
Каковы наиболее оптимальные права доступа для /bin/su?
На данный момент это:
-rwsr-xr-x. 1 root root 42436 Jul 26 18:19 /bin/su
Я думал об изменении на 700, это плохая идея?
решение1
Да, это плохая идея. Вам не нужно sudo su -, научите своих пользователей делать это sudo -iвместо этого. Это значит, что вам не нужно suи вы можете настроить конфигурацию pam так, чтобы разрешить использовать su.
После этого больше не нужно возиться с разрешениями файловой системы /bin/su, что хорошо, поскольку любое обновление suвосстановит их до значений по умолчанию.