このファイルを使用して、/etc/security/access.conf
どのユーザーがサーバーにアクセスできるかを指定します。
+ : root : LOCAL
+ : user1 : ALL
+ : user2 : ALL
+ : user3 : ALL
- : ALL : ALL
これは新しいSSHセッションに適しています。この3人のユーザーだけがSSHを介してサーバーにアクセスできます。残念ながら、ログイン後にsu -
他のすべてのユーザーに切り替えるために使用できます。
user1/2/3 が SSH 経由で使用できる唯一のユーザーになるようにファイルを同時にフォローsu -
するにはどうすればよいですか。/etc/security/access.conf
答え1
suの作成方法 - /etc/security/access.confにも注意してください。
次の項目を追加する必要があります/etc/pam.d/su
。/etc/security/access.conf
su -
session required pam_access.so
男 pam_access
pam_access PAM モジュールは主にアクセス管理に使用されます。ログイン名、ホスト名またはドメイン名、インターネットアドレス、またはネットワーク番号に基づいて、またはネットワーク以外のログインの場合は、ターミナル回線名に基づくlogdaemonスタイルのログインアクセス制御を提供します。
デフォルトで他のファイルを指定しない場合は、設定ファイル /etc/security/access.conf からアクセス管理ルールをインポートします。
答え2
user1/2/3 が SSH 経由で使用できる唯一のユーザーになるようにファイルを同時にフォロー
su -
するにはどうすればよいですか。/etc/security/access.conf
su
実際、私はあなたに興味を持っています/etc/security/access.conf
。問題は、これらのユーザーがSSHを介してログインしてシェルを開くと、実際にはローカルユーザーであることです。 SSHを使用してシステムにアクセスするという事実は、このセッションをTTYのローカルログインとは異なりません。
私はあなたが彼らの実行を止めることはできませんし、ブロックしなければならないとは思いませんsu
。もちろん、読み取り/実行権限を制限してsu
実行を防ぐこともできますが、そうすると問題が発生する可能性があります。
答え3
グループを使用してこのアプローチを試すことができますwheel
。
ホイールグループにユーザーを追加
$ sudo usermod -G wheel user1
Pam suファイルの編集
$ sudo vim /etc/pam.d/su
線を次のいずれかのようにします。
auth required /lib/security/pam_wheel.so use_uid -or- auth required pam_wheel.so use_uid
はい
私のFedora 14システムでは、/etc/pam.d/su
ファイルは次のようになります。
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
wheel
したがって、グループ内のユーザーだけがコマンドにアクセスできるように、その行のコメントを外してくださいsu
。
これをする必要がありますか?
私はおそらくこれをしないことをお勧めします。sudo
ユーザーが別のユーザーになる必要がある場合は、それを使用してナビゲートできます。