Регистрация Войти
Рейтинг:2
bluesquare avatar Ubuntu

Как отключить су?

флаг ph
bluesquare

Я немного запутался насчет su. Я просто хочу, чтобы пользователи не использовали su по всем направлениям. Авторизованные пользователи будут иметь доступ к sudo, поэтому при желании они могут быть root. Мы просто хотим полностью отключить su в любом случае.

Этот источник требует раскомментировать и заменить требуется авторизация pam_wheel.so с требуется авторизация pam_wheel.so use_uid от /etc/pam.d/su https://securitronlinux.com/bejiitaswrath/how-to-disable-the-su-to-root-in-linux-using-pam/ но на странице написано

Это потребует от пользователя входа в систему как root на терминале, чтобы иметь возможность используйте корневую подсказку.

поэтому я обеспокоен тем, что это помешает пользователям использовать судо -с

Кроме того, мы не хотим, чтобы пользователи могли использовать root, а затем использовать su в учетных записях друг друга. я вижу в /etc/pam.d/su

# Это позволяет root использовать su без паролей (нормальная работа)
достаточно авторизации pam_rootok.so

Безопасно ли мне комментировать эту строку? Завершит ли это достижение моей цели, не блокируя нас всех?

193
0 + 0
Nmath avatar
флаг ng
Nmath
1) Ubuntu не имеет учетной записи root, поэтому вы не можете войти в систему как root; 2) Любой пользователь с привилегиями sudo может делать все, что захочет, включая чтение/запись/выполнение для учетных записей других пользователей.
1
Ответить
mook765 avatar
флаг cn
mook765
Я не понимаю, почему вы беспокоитесь о `su`. Если кто-то использует `su`, ему нужно будет ввести пароль пользователя, на которого он хочет переключиться, если он не знает этот пароль, он не сможет переключиться на этого пользователя.
1
Ответить
bluesquare avatar
флаг ph
bluesquare
@Nmath Нет учетной записи root? Как мне это назвать? root@MRHOSTMAN:~# идентификатор uid=0(корень) gid=0(корень) groups=0(корень)
0
Ответить
bluesquare avatar
флаг ph
bluesquare
@mook765 Привет, для этого не требовался пароль: root@MRHOSTMAN:~# su otherguy otherguy@MRHOSTMAN:/home/firstguy$
0
Ответить
mook765 avatar
флаг cn
mook765
Только когда вы root, вы можете это сделать, а не когда вы обычный пользователь.
0
Ответить
Рейтинг:1
pasman pasmański avatar Ubuntu
флаг mx
pasman pasmański

В Ubuntu используется модель безопасности:

  1. Вы не можете войти как корень - учетная запись заблокирована паролем.
  2. Пользователи могут получить корень разрешения только через судо. Для этого они должны быть в судо или же администратор группа или сразу в судо файлы конфигурации.

Поэтому, если вы хотите, чтобы пользователи не могли использовать su, удалите их из судо и администратор группы. Если они могут выполнять какие-то административные задачи, то лучше добавить их в группу мои администраторы и настроить права группы мои администраторы в sudoers файл конфигурации.

0 + 0
флаг ru
Thomas Ward
Это не отключает использование команды su — эта команда по-прежнему будет работать, но если они не знают пароль для других пользователей, это им не поможет. Просто для уточнения, потому что удаление группы `sudo` или `admin` не помешает `su` по-прежнему выполнять свои функции - они просто не могут войти в любую учетную запись, если есть заблокированные PW или если они не знают PW для учетные записи, которые они пытаются
1
Ответить
pasman pasmański avatar
флаг mx
pasman pasmański
`Su` не отключен, потому что вы можете запускать команды, работающие аналогично: `sudo sh`, `sudo bash` и т. д. Пользователи в группе `sudo` могут все, в том числе восстанавливать заблокированные учетные записи. Пользователи в группе myadmin могут иметь строго определенные права. Другие пользователи имеют стандартные разрешения.
0
Ответить
флаг ru
Thomas Ward
Вот только вы сейчас говорите о двух совершенно разных вещах. ОП спрашивает, как **отключить `su`**, а не отключить вход sudo/admin. Даже если у кого-то нет разрешений sudo, они все равно могут использовать `su` для входа в систему для других пользователей.
1
Ответить
pasman pasmański avatar
флаг mx
pasman pasmański
Отключение `su` не имеет смысла. Если какой-либо пользователь может использовать `su otheruser`, потому что он знает пароль другого пользователя, то он может выйти из системы и войти в нее как другой пользователь.
1
Ответить
bluesquare avatar
флаг ph
bluesquare
@pasmanpasmaÅski Я в замешательстве. Я могу войти в систему как пользователь root... sudo -s, а затем Im root. Как вы понимаете, что вы не можете войти в систему как root? Кроме того, в настоящее время я могу использовать root, и я думал, что я вошел в систему как root (uid = 0)
0
Ответить
Nmath avatar
флаг ng
Nmath
Пожалуйста, просмотрите: https://askubuntu.com/q/687249
0
Ответить
Nmath avatar
флаг ng
Nmath
Судя по формулировке вопроса и комментариям, кажется, что OP объединяет «su» с «sudo» или корневым логином или, возможно, «sudo su». Если OP на самом деле хочет отключить использование «su», я согласитесь, что это было бы бесполезно - 1) потому что вам нужен пароль пользователя, чтобы использовать его, и 2) если у вас есть пароль пользователя, вы все равно можете просто войти в систему как этот пользователь, что делает отключение `su` совершенно неэффективным
0
Ответить
pasman pasmański avatar
флаг mx
pasman pasmański
@Lojitech `sudo -s` работает, потому что вы находитесь в группе `sudo`. если вы создадите нового пользователя, он не сможет сделать `sudo -s`
0
Ответить
bluesquare avatar
флаг ph
bluesquare
@pasmanpasmaÅski Хорошо, но, как я уже сказал, авторизованные пользователи будут иметь доступ к sudo. Поэтому я надеялся узнать, могу ли я безопасно отключить su, как я упоминал в своем посте.
0
Ответить
Рейтинг:0
bluesquare avatar Ubuntu
флаг ph
bluesquare

Спасибо @pasmanpasmaÅski и всем комментаторам и ответчикам, которые действительно расширили мое понимание Ubuntu.

Чтобы отключить su в Ubuntu (и в некоторых дистрибутивах RedHat), сделайте именно это:

Редактировать /etc/pam.d/su

Закомментируйте требуется авторизация pam_wheel.so и добавить требуется авторизация pam_wheel.so use_uid ниже.

и закомментировать достаточно авторизации pam_rootok.so

(согласно securitronlinux.com)

Тогда вы можете ожидать: Никто, включая root, не может su!

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.