Como impedir que usuários mudem para usuário raiz

11

Eu desabilitei o login do usuário root no arquivo Sshd.conf, agora ninguém poderá fazer login usando o usuário root, mesmo que conheça a senha SOMEHOW.

Agora eu tenho 3 usuários no servidor ROOT, EMERG e ORACLE. Desejo permitir a mudança para o ROOT apenas para o usuário EMERG usando su - e não para o usuário ORACLE.

porque normalmente, se os usuários souberem a senha ROOT, poderão mudar para o root usando su -. E eu quero esse recurso disponível apenas para o usuário EMERG.

Como fazer isso

Desde já, obrigado......

security rhel users su access-control OmiPenguin
fonte
11
Dê uma olhada, sudopois permite um controle de acesso muito melhor e mais refinado. Além disso, ele pode autenticar usuários com suas senhas.
Peterph
1
Se o meu anser funciona para você, você pode marcar como correto.
Bananguin 17/05

Respostas:

16

su(principalmente) usa pam para autenticação e pam possui um módulo chamado pam_wheel que verifica a associação ao grupo do usuário autenticado. Em suma, adicionando

auth       required   pam_wheel.so group=becomeroot

para o arquivo /etc/pam.d/su, apenas usuários que são membros do grupo becomerootpodem se tornar root usando su. Agora você deve garantir que apenas o usuário EMERG seja membro do grupo. Algumas distribuições têm / usam o grupo nomeado wheelpara isso.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Outras leituras: pam (7) pam_wheel (8) groupadd (8) gpasswd (1) e muitas distros têm explicando comentários no /etc/pam.d/subem

Bananguin
fonte
2
Nem todas as distribuições têm um wheelgrupo ou pode ter um nome diferente.
vonbrand