pam_wheel 構成をバイパスするシステム

pam_wheel 構成をバイパスするシステム

ユーザーログインのサブセットのみに制限するsuことは、セキュリティを強化する良い方法のように聞こえます。それがpam_wheel目的です。

はい

rootアカウントにはデフォルトでアクセス権が付与されており(rootok)、Wheelメンバーのみがrootになることができますが、Unixではrootではなく志願者を認証します。

su      auth     sufficient     pam_rootok.so
su      auth     required       pam_wheel.so
su      auth     required       pam_unix.so

systemd-run(およびページに記載されているmachinectlように)rootとしてコマンドを実行できます。man認証/権限を付与するためにPolicyKitを使用します。 PAMセッションは開かれません。

それでは...これで、大規模なディストリビューションではデフォルトでsystemdを使用しているので、systemdこれらの方法の pam_wheel の同等の構成は何ですか?

完全強化の場合、これは他のサービスにも適用できます。特定のlibvirt操作はrootとしてのみ実行できます。だから基本的にこれはDockerと大きく変わらないと思います。要求されたソケットファイルを読み取るDockerデーモンへのアクセス権を付与することは、ルートアクセスと同じであり、操作はほとんど必要ありません。

pam_wheelと同じくらい簡単に設定できない場合は、それを適用できる便利な自動化がありますか?個人的に私はいくつかの自動化にAnsibleを使用しましたが、例として使用できるスクリプトに興味があります。

関連情報