Slik deaktiverer du 'su'-tilgang for Sudo-brukere
Su-kommandoen er en spesiell Linux-kommando som lar deg kjøre en kommando som en annen bruker og gruppe. Den lar deg også bytte til root-kontoen (hvis den kjøres uten noen argumenter) eller en annen spesifisert brukerkonto.
Alle brukere har som standard tilgang til su-kommandoen. Men som systemadministrator kan du deaktivere su-tilgang for en bruker eller gruppe brukere ved å bruke sudoers-filen som forklart nedenfor.
Sudoers-filen driver sudo sikkerhetspolicy-plugin som bestemmer en brukers sudo-rettigheter. sudo-kommandoen lar brukere kjøre programmer med sikkerhetsrettighetene til en annen bruker (som standard, som rotbruker).
For å bytte til en annen brukerkonto kan en bruker kjøre su-kommandoen fra sin nåværende påloggingsøkt som vist. I dette eksemplet bytter brukeren aaronk til en testbruker-konto. Brukeren aaronk vil bli bedt om å angi passordet for testbrukerkontoen:
su testuser
For å bytte til root-kontoen må en bruker ha root-passordet eller ha rettigheter til å påkalle sudo-kommandoen. Med andre ord, brukeren må eksistere i sudoers-filen. I dette eksemplet bytter brukeren aaronk (en sudo-bruker) til root-kontoen.
Etter å ha påkalt sudo, blir brukeren aaronk bedt om å skrive inn passordet sitt, hvis det er gyldig, får brukeren tilgang til et interaktivt skall som root:
sudo su
Deaktiver su-tilgang for en Sudo-bruker
For å deaktivere su-tilgang for en sudo-bruker, for eksempel aaronk-brukeren ovenfor, må du først sikkerhetskopiere den originale sudoers-filen som ligger på /etc/sudoers følgende:
sudo cp /etc/sudoers /etc/sudoers.bak
Åpne deretter sudoers-filen ved å bruke følgende kommando. Merk at det ikke anbefales å redigere sudoers-filen for hånd, bruk alltid visudo-kommandoen:
sudo visudo
Under kommandodelen aliaser oppretter du følgende alias:
Cmnd_Alias DISABLE_SU = /bin/su
Legg deretter til følgende linje på slutten av filen, erstatt brukernavnet aaronk med brukeren du ønsker å deaktivere su-tilgang for:
aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU
Lagre filen og lukk den.
Test deretter for å bekrefte at oppsettet fungerer som følger. Systemet skal returnere en feilmelding som denne: "Beklager, bruker aaronk har ikke lov til å kjøre '/bin/su' som root på tecmint. ".
sudo su
Deaktiver su-tilgang for en gruppe Sudo-brukere
Du kan også deaktivere su-tilgang for en gruppe sudo-brukere. For å for eksempel deaktivere su-tilgang for alle brukere i gruppen admin, endre linjen:
%admin ALL=(ALL) ALL
til dette:
%admin ALL=(ALL) ALL, !DISABLE_SU
Lagre filen og lukk den.
For å legge til en bruker i admin-gruppen, kjør kommandoen usermod (erstatt brukernavnet med den faktiske brukeren):
sudo usermod -aG admin username
For mer informasjon om su, sudo og sudoer, sjekk man-sidene deres:
man su
man sudo
man sudoers