Unix - отключает “su” для ssh'ers
Я хотел бы отключить получение корня вообще для пользователей, которых вызывают ssh в - включая "sudo su", это - в значительной степени то же самое... Это может быть сделано? Предположите, что я не ssh'ing в, и имею физический доступ к машине, но хочу препятствовать тому, чтобы другие пользователи получили корень без физического доступа.
1 ответ
Я не могу думать к универсальному способу наличия того же пользователя, который в состоянии сделать sudo в графическом терминале (который является виртуальным tty), а не на a ssh соединение---, который в конце просто другой вид виртуального tty.
Что я могу думать, как приближенное решение:
имейте доверяемых пользователей, которые могут сделать
sudo(1), назовите ихalphaиbetaимейте пользователей, которые не могут сделать
sudo(1), назовите ихalephybet
Теперь, запретите вход в систему ssh alpha y beta использование DenyUsers директива в /etc/ssh/sshd.conf:
DenyUsers alpha beta
Если Вы хотите это пользователь alpha y aleph может совместно использовать файлы, можно сделать их той же группой или членами дополнительной группы и скорректировать полномочия файла соответственно.
Сноски:
(1) Просто напоминание: пользователь может сделать sudo если это - член группы sudo или adm (в зависимости от версии Ubuntu). Удалить способность к пользователю сделать sudo:
gpasswd -d user sudo
gpasswd -d user adm
и включить его:
gpasswd -a user sudo
gpasswd -a user adm
(один или другой---сверяются groups который является корректной группой в Вашей системе).