![選択したユーザーがパスワードで「newgrp」を使用するのを防ぐ方法[閉じる]](https://linux33.com/image/68801/%E9%81%B8%E6%8A%9E%E3%81%97%E3%81%9F%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%8C%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%A7%E3%80%8Cnewgrp%E3%80%8D%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E3%81%AE%E3%82%92%E9%98%B2%E3%81%90%E6%96%B9%E6%B3%95%5B%E9%96%89%E3%81%98%E3%82%8B%5D.png)
一部のユーザーをグループに追加しない方法を知りたいです。特定のユーザーがグループに参加するのを防ぐ必要があります。特定のユーザー(全体ではない)に対してグループをロックしたいです。
詳細
lgroupmod -L dba ==> This prevents users from using the group password and
gpasswd -R dba ==> is restriction to a group
特定のユーザーに対してグループをロックする必要があります。いいえすべてのグループメンバーに。
答え1
作業に間違ったツールを使用しているようです。グループパスワードはほとんど使用されない機能です。各ユーザーを目的のグループに割り当てることができます。ログインすると、特別な操作を行わずにグループ権限を取得できます。
ユーザーがグループ権限を使用しようとした場合(ログの目的など)、特定のタスクを実行するようにしたい場合、または特別な状況でのみグループ権限を使用する必要があることを明確にする場合は、最も明確なアプローチは次のことです。Sudo。グループにアクセスする必要があるユーザーの場合は、次を実行してvisudoファイルにルールを追加しますsudoers。
alice ALL = (:dba) ALL
sudo -g dba somecommand代わりにユーザーに実行するように指示しますecho 'somecommand' | newgrp dba。
ユーザーがグループにアクセスするには、共有パスワードを入力する必要がありますが、特定のユーザーだけがグループにアクセスできるようにする非常に珍しいシナリオがある場合でも、newgrpこれを特定のユーザーに制限できます。newgrp権限を安全に昇格させるのは難しいので、自分で書くのではなく悪用してください。 LinuxはnewgrpPAMを使用しません。おそらく基本的に誰も使用しないからですnewgrp。したがって、ディストリビューションのバージョンのソースコードをインポートしてファイルを読み取るように修正してください/etc/gshadow.dba。他のファイルを読み取る目的は、グループとそのパスワードをsg含む行を代わりに追加するなど、他の方法でグループの権限を増やすことを防ぐことです。変更をコンパイルしてインストールした後、特定のユーザーだけが実行できるように権限を設定します。dba/etc/gshadow.dba/etc/gshadownewgrp/usr/local/bin/newgrp-dba
chmod u=srwx,go= /usr/local/bin/newgrp-dba
setfacl -m user:alice:x /usr/local/bin/newgrp-dba
答え2
/etc/groupまたはにパスワードを追加できます/etc/gshadow。形式は似ています/etc/passwdが、フィールド数は異なります。ただし、2番目のフィールドにはパスワードを入力する必要があります。