Безопасность и оптимизация Linux.Редакция для Red Hat
       

Блокирование выполнения команды su root от других пользователей.


Если вы не хотите, чтобы кто-нибудь выполнял команду su root или хотите ограничить пользователей которые могут пользоваться этой командой, то добавьте следующие две строки в начало файла конфигурации su, расположенного в каталоге “/etc/pam.d/”. Я настоятельно рекомендую ограничить пользователей, которые могут выполнять команду su.

Шаг 1.

Редактируйте файл su (vi /etc/pam.d/su) и добавьте в него две строки:
auth sufficient /lib/security/pam_rootok.so debug


auth required /lib/security/pam_wheel.so group=wheel

После добавления этих строк ваш файл “/etc/pam.d/su” должен выглядеть так: #%PAM-1.0 auth sufficient       /lib/security/pam_rootok.so   debug auth          required        /lib/security/pam_wheel.so    group=wheel auth           required         /lib/security/pam_pwdb.so       shadow nullok account      required        /lib/security/pam_pwdb.so password   required        /lib/security/pam_cracklib.so password   required        /lib/security/pam_pwdb.so        shadow  use_authtok nullok session       required        /lib/security/pam_pwdb.so session       optional        /lib/security/pam_xauth.so

Который говорит, что только члены группы wheel могут использовать команду su root и все действия будут регистрироваться. Заметим, что группа wheel является специальным бюджетом, который используется для этой цели. Подобное ограничение пользователей способных выполнять команду su root совместно с ограничением терминалов с которых root может входить в систему существенно увеличит безопасность сервера.

Шаг 2.

После того как вы изменили файл “/etc/pam.d/su” самое время определит пользователей, которые могут выполнять su root. Например, если вы хотите чтобы admin был членом группы wheel введите следующую команду:
[root@deep]# usermod -G10 admin

где опцией G определяется список цифровых значений групп в которые входит пользователь admin. В данном случае группе wheel соответствует 10. Используйте приведенную выше команду для всех пользователей, которым будет разрешено переходить к root.

Замечание. Если вы не можете выполнить команду su в терминале GNOME, то это потому, что вы используете неправильный терминал.



Содержание раздела