Comment empêcher les utilisateurs de basculer vers l'utilisateur racine


12

J'ai désactivé la connexion de l'utilisateur root à partir du fichier Sshd.conf alors maintenant, personne ne peut se connecter en utilisant l'utilisateur root même s'il connaît le mot de passe SOMEHOW.

Maintenant, j'ai 3 utilisateurs sur le serveur ROOT, EMERG et ORACLE. Je veux autoriser le passage à ROOT uniquement à l'utilisateur EMERG en utilisant su - et non à l'utilisateur ORACLE.

car normalement, si les utilisateurs connaissent le mot de passe ROOT, ils peuvent basculer vers root en utilisant su -. Et je veux que cette fonctionnalité soit disponible uniquement pour l'utilisateur EMERG.

Comment faire

Merci d'avance......


11
Jetez-y un œil pour un sudocontrôle d'accès bien meilleur et plus fin. De plus, il peut authentifier les utilisateurs avec leurs mots de passe.
peterph

1
Si mon anser fonctionne pour vous, vous pouvez le marquer comme correct.
Bananguin

Réponses:


16

su(principalement) utilise pam pour l'authentification et pam a un module appelé pam_wheel qui vérifie l'appartenance au groupe de l'utilisateur authentifiant. Bref, en ajoutant

auth       required   pam_wheel.so group=becomeroot

dans le fichier /etc/pam.d/su, seuls les utilisateurs membres du groupe becomerootpeuvent devenir root en utilisant su. Maintenant, vous vous assurez que seul votre utilisateur EMERG est membre du groupe becomeroot. Certaines distributions ont / utilisent le groupe nommé wheelpour cela.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Pour en savoir plus: pam (7) pam_wheel (8) groupadd (8) gpasswd (1) et beaucoup ont distros expliquer dans les commentaires /etc/pam.d/suaussi bien


2
Toutes les distributions n'ont pas de wheelgroupe, ou il pourrait être nommé différemment.
vonbrand
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.