Як зупинити користувачів від переходу на кореневого користувача

12

Я вимкнув логін користувача root з файлу Sshd.conf, тому тепер ніхто не може ввійти, використовуючи root користувача, навіть якщо він знає пароль ДЕЙШЕ.

Зараз у мене є 3 користувачі сервера ROOT, EMERG та ORACLE. Я хочу дозволити перемикатися на ROOT лише користувачеві EMERG, використовуючи su - а не користувач ORACLE.

тому що зазвичай, якщо користувачі знають пароль ROOT, вони можуть перейти на root за допомогою su -. І я хочу, щоб ця функція була доступна лише користувачеві EMERG.

Як це зробити

Спасибі заздалегідь......

security  rhel  users  su  access-control 
OmiPenguin
джерело
11
Подивіться на sudoце дозволяє набагато кращий і тонший зернистий контроль доступу. Плюс це може автентифікувати користувачів своїми паролями.
петерф
1
Якщо мій ансер працює для вас, ви можете позначити його як правильне.
Банангуін

Відповіді:

16

su(здебільшого) використовує pam для автентифікації, а pam має модуль під назвою pam_wheel, який перевіряє групову приналежність користувача, що підтверджує автентифікацію. Словом, додавши

auth       required   pam_wheel.so group=becomeroot

у файл /etc/pam.d/su, лише користувачі, які є членами групи, becomerootможуть отримати root за допомогою su. Тепер ви переконайтеся, що лише ваш користувач EMERG є членом групи статей. Деякі дистрибутиви мають / використовують групу, названу wheelдля цього.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Подальше читання: РАМ (7) pam_wheel (8) GroupAdd (8) gpasswd (1) і багато дистрибутиви мають пояснення в коментарях , /etc/pam.d/suа також

Банангуін
джерело
2
Не всі дистрибутиви мають wheelгрупу, або її можна назвати по-різному.
vonbrand
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.