su - $appuser
私はシステム管理者であり、ユーザーがアプリケーションユーザーのパスワードを使用して入力したくありません。
かなり
sudo su - $appuser
自分のパスワードを使用して入力してください。
疑わしくない一部の素朴なユーザーは間違ったパスワードを入力しようとします。誤ったパスワードを入力すると、su - $appuser
3回の試行が失敗した後にアプリケーションユーザーがロックされます(ADチームで定義されているように変更できません)。私たちはユーザーに使用するよう強制したいと思います。sudo su -
これは達成できますか?
答え1
まあ、あなたはいつも伝統的なBSDルートに行くことができます...
グループの作成 -ホイール伝統的な名前ですね。
許可されたユーザーをsu
グループに追加します。あなたの場合はなし(おそらく除く)根、しかし根とにかく許可されます)。
グループ所有権をsu
次に設定ホイール
奪う他の人実行力su
最終的にsu
はルートワード:ホイール所有権は次のとおりです。rws--x---(つまり)chmod u=rwxs,g=x,o= su
(またはより良い方法: --s--x---;chmod u=xs,g=x,o= su
これにより、次のユーザーを除くすべてのユーザーがブロックされます。根そしてメンバーホイール実行での有効な使用su
により、すべてのユーザーがアクティブになります。sudo
根、sudo su ...
また働くべきです。
答え2
PAMを使用するシステム(たとえば、ほぼすべてのLinuxシステム)を使用している場合は、より多くのオプションがあります。
- LDAP/AD/etc で以前
/etc/pam.d/su
と同様に行を編集して追加します。su auth required pam_wheel.so
確認してください。これはwheel
ファイルの所有権の代わりにPAMを介してグループを提供します。を使用すると、より柔軟な操作を実行できますpam_succeed_if
。 - 同じように編集し、
auth sufficient pam_rootok.so
(rootを許可するsu
)次に変更しますauth required pam_rootok.so
。ただrootsu
)またはauth required pam_deny.so
特定のポイントに入れます。 - 同じファイルを使用してアプリケーションユーザーをブロックするなど
auth required pam_succeed_if.so uid ne $appuser
の操作を実行できます。su
事前にお詫び申し上げます。そのうちのどれもテストしませんでした。