Есть ли какой-то способ ограничить su
определенной группой пользователей?
После поиска в Интернете я натолкнулся на концепцию IBM AIX sugroup
. Каждый раз, когда пользователь создается, атрибут sugroup
может быть установлен; и только членам этой группы разрешено su для этого пользователя.
sugroup
может помочь мне решить мою проблему, создав группу, которая содержит только определенных пользователей, которым разрешено su. Назначение sugroup
означает, что пользователи, не входящие в эту группу, не могут быть назначены другим пользователям. Но эта концепция sugroup
недоступна в Ubuntu. Как это может быть достигнуто в Ubuntu?
Я сделал следующую запись в /etc/pam.d/su
:
auth required pam_wheel.so group=sulogin
Я создал следующее:
sulogin
предназначена для пользователей, которым разрешено su sulogin
, являются user1
и user2
sulogin
являются admin1
и admin2
Теперь, когда я вошел в систему как user1
и пытаюсь выполнить su в admin1
или admin2
, мне не разрешено это делать. Это согласно моему требованию. Когда я вошел в систему как user1
и попытался выполнить user2
, мне не разрешено это делать. Это не соответствует моему требованию (хотя мои требования не были четко упомянуты в первоначальном вопросе).
Мне нужно ограничить всех пользователей, которые не входят в группу sulogin
, от предъявления иска любому пользователю, который принадлежит к группе sulogin
. В основном, 2 уровня привилегий su. Таким образом, в вышеупомянутом сценарии:
user1
должны иметь возможность su
- user2
, и наоборот user1
или user2
не должны быть в состоянии от su
до admin1
или admin2
admin1
должно быть в состоянии от su
до user1
или user2
Эквивалент возможен на Ubuntu, он просто не включен по умолчанию. Выезд /etc/pam.d/su
:
# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
Так, не прокомментируйте этот auth
, строка, тогда su
будет ограничена членами группы root
. Или не прокомментируйте и добавьте group=sulogin
, если Вы хотите ограничить sulogin
группа.