Предотвратите sudo пользователей, переключающихся на другого пользователя без пароля целевых пользователей?
Извините, если заголовок неоднозначен, однако я довольно плохо знаком с Ubuntu, но только что настроил веб-сервер, выполняющий ее с группой "разработчики", которые являются всем sudo.
В данный момент Пользователи могут только войти в систему через SSH с ключом, связанным с их учетной записью. Но user1 мог просто сделать:
sudo su - user2
И действие как user2 без пароля. Есть ли способ вызвать то же поведение как
su - user2
который на самом деле потребует пароля user2? Иначе отслеживание каждого, которым пользователи управляют для наблюдения, кто сделан, что несколько бессмысленно..
Спасибо!
2 ответа
Предотвратить переключающихся пользователей sudo su -, необходимо отключить способность корня к su любому пользователю.Править /etc/pam.d/su и комментарий эта строка:
auth sufficient pam_rootok.so
Как комментарий выше этого в /etc/pam.d/su говорит, это позволяет корень su без паролей.
Или Вы могли ограничить sudo использование к ограниченному набору команд, которые не включают su и вызовите переключение пользователя через sudo -i -u/sudo -s -u, и включите targetpw опция в sudoers.
Полномочия Sudo должны только быть даны тем, кто, возможно, должен администрировать саму машину. Другими полномочиями можно управлять через полномочия группы и группы. Например, добавьте, что пользователь назвал 'developer1' группе www-данных:
sudo usermod -a -G www-data developer1
Это добавит 'developer1' к группе www-данных Apache.
sudo chgrp -R www-data /var/www
удостоверится, что все файлы и каталоги в/var/www принадлежат группе 'www-данные'.
sudo chmod -R g+w /var/www
удостоверится, что у группы есть доступ для записи ко всем файлам в/var/www
http://www.cyberciti.biz/faq/ubuntu-add-user-to-group-www-data/