In einigen Situationen müssen Sie den su-Zugriff einschränken auf:
– nur der Benutzer „oracle“ kann zu einem bestimmten Benutzer wechseln (z schlagen immer noch fehl.
– andere Benutzer können nicht auf su zugreifen.
Das Ändern der standardmäßigen PAM-Einstellung für su kann das Ziel erreichen. Schritte unten zum Einrichten der Einschränkung für su:
1. Erstellen Sie eine neue Gruppe für Oracle, die su ausführen darf:
# groupadd adminmembers
2. Benutzer (Oracle) zur Gruppe hinzufügen:
# usermod -G adminmembers oracle
3. Erstellen Sie /etc/security/su-adminmembers-access Datei und fügen Sie ‚admin‘ hinzu:
# cat /etc/security/su-adminmembers-access admin
Stellen Sie sicher, dass /etc/security/su-adminmembers-access nur für den Benutzer „root“ und nicht für andere Benutzer schreibbar ist.
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. Fügen Sie folgende Regeln zu /etc/pam.d/su hinzu Konfigurationsdatei:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
Mit den beiden obigen Regeln ist das Wechseln von Benutzern durch su beschränkt auf:
- Nur Benutzer in der Gruppe „adminmembers“ (z. B. in diesem Fall oracle) können mit „su – admin“ mit gültigem Passwort zum Administrator wechseln
- Benutzer in der Gruppe „adminmembers“ können nur durch „su – admin“ zu „admin“ wechseln, der Wechsel zu anderen Benutzern schlägt immer noch fehl
- Benutzer, die NICHT in der Gruppe „adminmembers“ sind, können „su“ nicht verwenden, um Benutzer zu wechseln
- Benutzer ‚root‘ kann immer noch zu anderen Benutzern wechseln
- Bitte denken Sie daran, dass die obige Einstellung nur berücksichtigt werden kann, wenn Sie eine so strenge su-Richtlinie benötigen. Im Allgemeinen wird die Verwendung von sudo empfohlen, um adaptivere Switching-Richtlinien zu erreichen.