如何阻止用户切换到根用户


12

我已禁用了Sshd.conf文件中的root用户登录名,因此,即使他们知道密码SOMEHOW,也没有人可以使用root用户登录。

现在我在服务器ROOT,EMERG和ORACLE中有3个用户。我想允许通过使用su切换到仅EMERG用户的ROOT权限,而不是ORACLE用户。

因为通常,如果用户知道ROOT密码,则可以使用su-切换到root用户。我希望此功能仅适用于EMERG用户。

这个怎么做

提前致谢......


11
看看sudo它可以提供更好,更细粒度的访问控制。另外,它可以使用他们的密码对用户进行身份验证。
彼得2013年

1
如果我的分析服务为您工作,则可能需要将其标记为正确。
Bananguin 2013年

Answers:


16

su(通常)使用pam进行身份验证,并且pam具有称为pam_wheel的模块,该模块检查身份验证用户的组成员身份。简而言之,通过添加

auth       required   pam_wheel.so group=becomeroot

对于文件/etc/pam.d/su,只有属于该组成员的用户才能becomeroot使用su成为root用户。现在,您确保只有用户EMERG是该组成为root的成员。一些发行版具有/使用wheel为此命名的组。

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

进一步阅读:PAM(7)pam_wheel(8)GROUPADD(8)gpasswd(1)和许多发行版已经说明的评论/etc/pam.d/su以及


2
并非所有发行版都有一个wheel组,或者可以使用不同的名称。
vonbrand 2013年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.