RHELがaccess.confでsuを表示できるようにする方法は?

RHELがaccess.confでsuを表示できるようにする方法は?

このファイルを使用して、/etc/security/access.confどのユーザーがサーバーにアクセスできるかを指定します。

+ : root : LOCAL
+ : user1 : ALL
+ : user2 : ALL
+ : user3 : ALL
- : ALL : ALL

これは新しいSSHセッションに適しています。この3人のユーザーだけがSSHを介してサーバーにアクセスできます。残念ながら、ログイン後にsu -他のすべてのユーザーに切り替えるために使用できます。

user1/2/3 が SSH 経由で使用できる唯一のユーザーになるようにファイルを同時にフォローsu -するにはどうすればよいですか。/etc/security/access.conf

答え1

suの作成方法 - /etc/security/access.confにも注意してください。

次の項目を追加する必要があります/etc/pam.d/su/etc/security/access.confsu -

session required pam_access.so

男 pam_access

pam_access PAM モジュールは主にアクセス管理に使用されます。ログイン名、ホスト名またはドメイン名、インターネットアドレス、またはネットワーク番号に基づいて、またはネットワーク以外のログインの場合は、ターミナル回線名に基づくlogdaemonスタイルのログインアクセス制御を提供します。

デフォルトで他のファイルを指定しない場合は、設定ファイル /etc/security/access.conf からアクセス管理ルールをインポートします。

答え2

user1/2/3 が SSH 経由で使用できる唯一のユーザーになるようにファイルを同時にフォローsu -するにはどうすればよいですか。/etc/security/access.conf

su実際、私はあなたに興味を持っています/etc/security/access.conf。問題は、これらのユーザーがSSHを介してログインしてシェルを開くと、実際にはローカルユーザーであることです。 SSHを使用してシステムにアクセスするという事実は、このセッションをTTYのローカルログインとは異なりません。

私はあなたが彼らの実行を止めることはできませんし、ブロックしなければならないとは思いませんsu。もちろん、読み取り/実行権限を制限してsu実行を防ぐこともできますが、そうすると問題が発生する可能性があります。

答え3

グループを使用してこのアプローチを試すことができますwheel

  1. ホイールグループにユーザーを追加

    $ sudo usermod -G wheel user1
    
  2. Pam suファイルの編集

    $ sudo  vim /etc/pam.d/su
    
  3. 線を次のいずれかのようにします。

    auth required /lib/security/pam_wheel.so use_uid
    
    -or-
    
    auth required pam_wheel.so use_uid
    

はい

私のFedora 14システムでは、/etc/pam.d/suファイルは次のようになります。

# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid

wheelしたがって、グループ内のユーザーだけがコマンドにアクセスできるように、その行のコメントを外してくださいsu

これをする必要がありますか?

私はおそらくこれをしないことをお勧めします。sudoユーザーが別のユーザーになる必要がある場合は、それを使用してナビゲートできます。

関連情報