どうやってsuが許可されないのですか?

どうやってsuが許可されないのですか?

su - $appuser私はシステム管理者であり、ユーザーがアプリケーションユーザーのパスワードを使用して入力したくありません。

かなり

sudo su - $appuser自分のパスワードを使用して入力してください。

疑わしくない一部の素朴なユーザーは間違ったパスワードを入力しようとします。誤ったパスワードを入力すると、su - $appuser3回の試行が失敗した後にアプリケーションユーザーがロックされます(ADチームで定義されているように変更できません)。私たちはユーザーに使用するよう強制したいと思います。sudo su -

これは達成できますか?

答え1

まあ、あなたはいつも伝統的なBSDルートに行くことができます...

グループの作成 -ホイール伝統的な名前ですね。

許可されたユーザーをsuグループに追加します。あなたの場合はなし(おそらく除く)、しかしとにかく許可されます)。

グループ所有権をsu次に設定ホイール

奪う他の人実行力su

最終的にsuルートワード:ホイール所有権は次のとおりです。rws--x---(つまり)chmod u=rwxs,g=x,o= su(またはより良い方法: --s--x---;chmod u=xs,g=x,o= su

これにより、次のユーザーを除くすべてのユーザーがブロックされます。そしてメンバーホイール実行での有効な使用suにより、すべてのユーザーがアクティブになります。sudosudo su ...また働くべきです。

答え2

PAMを使用するシステム(たとえば、ほぼすべてのLinuxシステム)を使用している場合は、より多くのオプションがあります。

  1. LDAP/AD/etc で以前/etc/pam.d/suと同様に行を編集して追加します。su auth required pam_wheel.so確認してください。これはwheelファイルの所有権の代わりにPAMを介してグループを提供します。を使用すると、より柔軟な操作を実行できますpam_succeed_if
  2. 同じように編集し、auth sufficient pam_rootok.so(rootを許可するsu)次に変更しますauth required pam_rootok.soただroot su)またはauth required pam_deny.so特定のポイントに入れます。
  3. 同じファイルを使用してアプリケーションユーザーをブロックするなどauth required pam_succeed_if.so uid ne $appuserの操作を実行できます。su

事前にお詫び申し上げます。そのうちのどれもテストしませんでした。

関連情報