Ограничить su группой пользователей

Question 1

Есть ли какой-то способ ограничить su определенной группой пользователей?

После поиска в Интернете я натолкнулся на концепцию IBM AIX sugroup. Каждый раз, когда пользователь создается, атрибут sugroup может быть установлен; и только членам этой группы разрешено su для этого пользователя.

sugroup может помочь мне решить мою проблему, создав группу, которая содержит только определенных пользователей, которым разрешено su. Назначение sugroup означает, что пользователи, не входящие в эту группу, не могут быть назначены другим пользователям. Но эта концепция sugroup недоступна в Ubuntu. Как это может быть достигнуто в Ubuntu?

Я сделал следующую запись в /etc/pam.d/su:

auth required pam_wheel.so group=sulogin

Я создал следующее:

группа под названием sulogin предназначена для пользователей, которым разрешено su
пользователей, которые не принадлежат sulogin, являются user1 и user2
пользователей, которые принадлежат sulogin являются admin1 и admin2

Теперь, когда я вошел в систему как user1 и пытаюсь выполнить su в admin1 или admin2, мне не разрешено это делать. Это согласно моему требованию. Когда я вошел в систему как user1 и попытался выполнить user2, мне не разрешено это делать. Это не соответствует моему требованию (хотя мои требования не были четко упомянуты в первоначальном вопросе).

Мне нужно ограничить всех пользователей, которые не входят в группу sulogin, от предъявления иска любому пользователю, который принадлежит к группе sulogin. В основном, 2 уровня привилегий su. Таким образом, в вышеупомянутом сценарии:

user1 должны иметь возможность su - user2, и наоборот
user1 или user2 не должны быть в состоянии от su до admin1 или admin2
admin1 должно быть в состоянии от su до user1 или user2

Question 2

Эквивалент возможен на Ubuntu, он просто не включен по умолчанию. Выезд /etc/pam.d/su:

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Так, не прокомментируйте этот auth, строка, тогда su будет ограничена членами группы root. Или не прокомментируйте и добавьте group=sulogin, если Вы хотите ограничить sulogin группа.

muru · Answer 1 · 17 August 2016 в 18:17

Эквивалент возможен на Ubuntu, он просто не включен по умолчанию. Выезд /etc/pam.d/su:

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Так, не прокомментируйте этот auth, строка, тогда su будет ограничена членами группы root. Или не прокомментируйте и добавьте group=sulogin, если Вы хотите ограничить sulogin группа.

Ограничить su группой пользователей

1 ответ

Другие вопросы по тегам:

Похожие вопросы: