Come impedire agli utenti di passare all'utente root

12

Ho disabilitato l'accesso dell'utente root dal file Sshd.conf, quindi ora nessuno può accedere utilizzando l'utente root anche se conoscono la password SOMEHOW.

Ora ho 3 utenti nel server ROOT, EMERG e ORACLE. Voglio consentire il passaggio a ROOT solo all'utente EMERG usando su - e non all'utente ORACLE.

perché normalmente se gli utenti conoscono la password ROOT possono passare al root usando su -. E voglio che questa funzione sia disponibile solo per l'utente EMERG.

Come fare questo

Grazie in anticipo......

security  rhel  users  su  access-control 
OmiPenguin
fonte
11
Dai un'occhiata sudoche consente un controllo degli accessi molto migliore e più preciso. Inoltre può autenticare gli utenti con le loro password.
peterph
1
Se la mia risposta funziona per te, potresti contrassegnarla come corretta.
Bananguin,

Risposte:

16

su(principalmente) usa pam per l'autenticazione e pam ha un modulo chiamato pam_wheel che controlla l'appartenenza al gruppo dell'utente che esegue l'autenticazione. In breve, aggiungendo

auth       required   pam_wheel.so group=becomeroot

al file /etc/pam.d/su, solo gli utenti membri del gruppo becomerootpossono diventare root usando su. Ora ti assicuri che solo il tuo utente EMERG sia membro del gruppo becomeroot. Alcune distro hanno / usano il gruppo chiamato wheelper questo.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Per ulteriori approfondimenti: PAM (7) pam_wheel (8) groupadd (8) gpasswd (1) e molte distribuzioni hanno spiegato i commenti a /etc/pam.d/suoltre

Bananguin
fonte
2
Non tutte le distribuzioni hanno un wheelgruppo o potrebbero essere denominate diversamente.
vonbrand,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.