Comment empêcher les utilisateurs de basculer vers l'utilisateur racine

12

J'ai désactivé la connexion de l'utilisateur root à partir du fichier Sshd.conf alors maintenant, personne ne peut se connecter en utilisant l'utilisateur root même s'il connaît le mot de passe SOMEHOW.

Maintenant, j'ai 3 utilisateurs sur le serveur ROOT, EMERG et ORACLE. Je veux autoriser le passage à ROOT uniquement à l'utilisateur EMERG en utilisant su - et non à l'utilisateur ORACLE.

car normalement, si les utilisateurs connaissent le mot de passe ROOT, ils peuvent basculer vers root en utilisant su -. Et je veux que cette fonctionnalité soit disponible uniquement pour l'utilisateur EMERG.

Comment faire

Merci d'avance......

security rhel users su access-control OmiPenguin
la source
11
Jetez-y un œil pour un sudocontrôle d'accès bien meilleur et plus fin. De plus, il peut authentifier les utilisateurs avec leurs mots de passe.
peterph
1
Si mon anser fonctionne pour vous, vous pouvez le marquer comme correct.
Bananguin

Réponses:

16

su(principalement) utilise pam pour l'authentification et pam a un module appelé pam_wheel qui vérifie l'appartenance au groupe de l'utilisateur authentifiant. Bref, en ajoutant

auth       required   pam_wheel.so group=becomeroot

dans le fichier /etc/pam.d/su, seuls les utilisateurs membres du groupe becomerootpeuvent devenir root en utilisant su. Maintenant, vous vous assurez que seul votre utilisateur EMERG est membre du groupe becomeroot. Certaines distributions ont / utilisent le groupe nommé wheelpour cela.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Pour en savoir plus: pam (7) pam_wheel (8) groupadd (8) gpasswd (1) et beaucoup ont distros expliquer dans les commentaires /etc/pam.d/suaussi bien

Bananguin
la source
2
Toutes les distributions n'ont pas de wheelgroupe, ou il pourrait être nommé différemment.
vonbrand