En algunas situaciones, debe restringir el acceso su a:
– solo el usuario 'oracle' puede cambiar a un usuario en particular (por ejemplo, cambiar a admin por 'su – admin' para mantener el sistema), cambiar a otros usuarios sigue fallando.
– otros usuarios no pueden acceder a su.
Modificar la configuración predeterminada de PAM para su puede lograr el objetivo. Pasos a continuación para configurar la restricción para su:
1. Cree un nuevo grupo para Oracle que pueda ejecutar su:
# groupadd adminmembers
2. Agregue usuarios (Oracle) al grupo:
# usermod -G adminmembers oracle
3. Cree el /etc/security/su-adminmembers-access y agréguele 'admin':
# cat /etc/security/su-adminmembers-access admin
Asegúrese de que /etc/security/su-adminmembers-access solo se pueda escribir para el usuario "raíz" y no para ningún otro usuario.
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. Agregue las siguientes reglas a /etc/pam.d/su archivo de configuración:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
Con las dos reglas anteriores, el cambio de usuarios por su estará restringido a:
- Solo los usuarios del grupo 'adminmembers' (p. ej., en este caso, Oracle) pueden cambiar a administrador mediante 'su – admin' con una contraseña válida
- Los usuarios del grupo 'adminmembers' solo pueden cambiar a 'admin' mediante 'su – admin'; el cambio a otros usuarios sigue fallando
- Los usuarios que NO están en el grupo 'adminmembers' no pueden usar 'su' para cambiar de usuario
- El usuario 'raíz' todavía puede cambiar a cualquier otro usuario
- Recuerde que la configuración anterior solo se puede considerar si necesita una política su estricta. En general, se recomienda usar sudo para lograr políticas de conmutación más adaptables.