Извините, если заголовок неоднозначен, однако я довольно плохо знаком с Ubuntu, но только что настроил веб-сервер, выполняющий ее с группой "разработчики", которые являются всем sudo.
В данный момент Пользователи могут только войти в систему через SSH с ключом, связанным с их учетной записью. Но user1 мог просто сделать:
sudo su - user2
И действие как user2 без пароля. Есть ли способ вызвать то же поведение как
su - user2
который на самом деле потребует пароля user2? Иначе отслеживание каждого, которым пользователи управляют для наблюдения, кто сделан, что несколько бессмысленно..
Спасибо!
Предотвратить переключающихся пользователей sudo su -
, необходимо отключить способность корня к su
любому пользователю.Править /etc/pam.d/su
и комментарий эта строка:
auth sufficient pam_rootok.so
Как комментарий выше этого в /etc/pam.d/su
говорит, это позволяет корень su
без паролей.
Или Вы могли ограничить sudo
использование к ограниченному набору команд, которые не включают su
и вызовите переключение пользователя через sudo -i -u
/sudo -s -u
, и включите targetpw
опция в sudoers
.
Полномочия Sudo должны только быть даны тем, кто, возможно, должен администрировать саму машину. Другими полномочиями можно управлять через полномочия группы и группы. Например, добавьте, что пользователь назвал 'developer1' группе www-данных:
sudo usermod -a -G www-data developer1
Это добавит 'developer1' к группе www-данных Apache.
sudo chgrp -R www-data /var/www
удостоверится, что все файлы и каталоги в/var/www принадлежат группе 'www-данные'.
sudo chmod -R g+w /var/www
удостоверится, что у группы есть доступ для записи ко всем файлам в/var/www
http://www.cyberciti.biz/faq/ubuntu-add-user-to-group-www-data/