Cómo evitar que los usuarios cambien a usuario root

12

He desactivado el inicio de sesión del usuario root desde el archivo Sshd.conf, por lo que ahora nadie puede iniciar sesión con el usuario root, incluso si conocen la contraseña.

Ahora tengo 3 usuarios en el servidor ROOT, EMERG y ORACLE. Quiero permitir el cambio a ROOT solo para usuarios EMERG usando su - y no para usuarios ORACLE.

porque normalmente si los usuarios conocen la contraseña ROOT pueden cambiar a root usando su -. Y quiero que esta función esté disponible solo para usuarios de EMERG.

Como hacer esto

Gracias por adelantado......

security rhel users su access-control OmiPenguin
fuente
11
Echar un vistazo sudopermite un control de acceso mucho mejor y más fino. Además, puede autenticar a los usuarios con sus contraseñas.
Peter
1
Si mi respuesta funciona para usted, puede marcarlo como correcto.
Bananguin

Respuestas:

16

su(principalmente) usa pam para la autenticación y pam tiene un módulo llamado pam_wheel que verifica la pertenencia a grupos del usuario que se autentica. En resumen, agregando

auth       required   pam_wheel.so group=becomeroot

para el archivo /etc/pam.d/su, solo los usuarios que son miembros del grupo becomerootpueden convertirse en root usando su. Ahora se asegura de que solo su usuario EMERG sea miembro del grupo que se convierte en raíz. Algunas distribuciones tienen / usan el grupo nombrado wheelpara eso.

groupadd becomeroot         #add the group becomeroot to your system
gpasswd -a EMERG becomeroot # add the user EMERG to the group becomeroot

Más información: pam (7) pam_wheel (8) groupadd (8) gpasswd (1) y muchas distribuciones se explica en los comentarios /etc/pam.d/su, así

Bananguin
fuente
2
No todas las distribuciones tienen un wheelgrupo, o podría tener un nombre diferente.
vonbrand