Я хотел бы отключить получение корня вообще для пользователей, которых вызывают ssh в - включая "sudo su", это - в значительной степени то же самое... Это может быть сделано? Предположите, что я не ssh'ing в, и имею физический доступ к машине, но хочу препятствовать тому, чтобы другие пользователи получили корень без физического доступа.
Я не могу думать к универсальному способу наличия того же пользователя, который в состоянии сделать sudo
в графическом терминале (который является виртуальным tty), а не на a ssh
соединение---, который в конце просто другой вид виртуального tty.
Что я могу думать, как приближенное решение:
имейте доверяемых пользователей, которые могут сделать sudo
(1), назовите их alpha
и beta
имейте пользователей, которые не могут сделать sudo
(1), назовите их aleph
y bet
Теперь, запретите вход в систему ssh alpha
y beta
использование DenyUsers
директива в /etc/ssh/sshd.conf
:
DenyUsers alpha beta
Если Вы хотите это пользователь alpha
y aleph
может совместно использовать файлы, можно сделать их той же группой или членами дополнительной группы и скорректировать полномочия файла соответственно.
Сноски:
(1) Просто напоминание: пользователь может сделать sudo
если это - член группы sudo
или adm
(в зависимости от версии Ubuntu). Удалить способность к пользователю сделать sudo:
gpasswd -d user sudo
gpasswd -d user adm
и включить его:
gpasswd -a user sudo
gpasswd -a user adm
(один или другой---сверяются groups
который является корректной группой в Вашей системе).