我需要允许用户martin
切换到martin-test
没有密码的用户
su - martin-test
我认为这可以在中配置/etc/pam.d/su
。该文件中已经有一些行可以取消注释。但是,我不喜欢将用户添加martin
到group 的想法wheel
。martin
除了切换到,我不想授予更多特权martin-test
。我也不想使用sudo
。
在保持用户特权martin
最小化的同时,最好的方法是什么?
我不想
—
Martin Vegter 2014年
sudo
仅仅因为这个而安装(我通常不使用sudo
并且我不太喜欢它)。而且我认为使用pam
这样做是更清洁,更透明的方式。
@MartinVegter从脚本答案中可以看出,通过某种pam机制执行此操作非常难看。真的,这正是
—
帕特里克
sudo
本意。除了不正常使用外,还有什么异议?
如果可以使用干净的解决方案
—
Martin Vegter 2014年
pam
,我宁愿这样sudo
。如果sudo
是唯一的可能性,那也很好。我的反对意见sudo
主要是意识形态的:我不喜欢用户使用进行管理的想法sudo foo
。当需要进行管理时,我以root用户身份登录。否则,我将以用户身份登录,这两个不同的角色不应混在一起。另外,我已经安装了pam
基础架构。我不想安装setuid
可能引入安全性错误的其他程序。
@MartinVegter您不必
—
帕特里克
sudo foo
对特定命令进行操作。Sudo具有sudo -s
启动外壳的功能。sudo是一个非常普遍的实用程序,这意味着它的安全性已经过彻底的审查,远远超过了一些pam骗局。我还要指出,获得根shell任务比启动特定命令要不安全得多。启动外壳程序时,您将所有内容都作为root 运行。如果其中任何一项(例如simple ls
)都存在安全漏洞,那么您刚刚打开了一个安全漏洞。
sudo
如sudo -u martin-test -i
。您有具体要问的原因su
吗?