Как запретить определенному пользователю получать root (через su) в терминале, изменив /etc/pam.d/su? Требуется контроль на основе Pam [duplicate]
На этот вопрос уже есть ответ здесь:
В ubuntu есть два пользователя (назовем их user1 и user2). В настоящее время user1 может получить доступ root, используя следующие команды:
user1@sai:~$ su
Password:
root@sai:/home/user1#
Однако я хочу запретить user1 получать доступ root, и вместо этого разрешить user2 получать доступ root через sudo по желанию, изменив файл конфигурации Pam в файле /etc/pam.d/su.
Как я могу это сделать?
1 ответ
Это - то, что /etc/sudoers делает с помощью некоторых групп.
По умолчанию, если пользователь является членом группы admin или группы sudo, у них будет способность к командам выполнения как пользователь root. Так, мы можем просто удалить пользователя из этих двух групп:
sudo gpasswd -d sudo user1
sudo gpasswd -d admin user1
Примечание, что это будет не , сразу вступает в силу. user1 должен выйти из системы и въехать задним ходом для этого изменения для вступления в силу.
Для предоставления user2 доступ к корню можно добавить их к любой из этих групп. Лично, я предпочитаю добавлять их к sudo группа, как так:
sudo usermod -aG sudo user2
Снова, user2 потребности выйти из системы и въехать задним ходом, чтобы эти настройки вступили в силу.
Примечание, тем не менее, что для user1 может быть возможно иметь запись в /etc/sudoers файл, в этом случае необходимо удалить ту запись.
При редактировании /etc/sudoers, никогда редактирование это вручную! Вместо этого используйте эти visudo команда, которая проверит это, Вы не собираетесь случайно повреждать свою конфигурацию безвозвратно. Выполните это с эти sudo visudo команда.