V některých situacích musíte omezit přístup su na:
– pouze uživatel 'oracle' se může přepnout na konkrétního uživatele (např. přepnout na admin pomocí 'su – admin' pro údržbu systému), přepnutí na jiné uživatele bude stále selhává.
– ostatní uživatelé nemají přístup k su.
Úpravou výchozího nastavení PAM pro su lze dosáhnout cíle. Níže uvedené kroky pro nastavení omezení pro su:
1. Vytvořte novou skupinu pro oracle, která má povoleno spouštět su:
# groupadd adminmembers
2. Přidejte uživatele (oracle) do skupiny:
# usermod -G adminmembers oracle
3. Vytvořte /etc/security/su-adminmembers-access soubor a přidejte k němu ‘admin’:
# cat /etc/security/su-adminmembers-access admin
Ujistěte se, že do /etc/security/su-adminmembers-access lze zapisovat pouze pro uživatele root a ne pro žádného jiného uživatele.
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. Přidejte následující pravidla do /etc/pam.d/su konfigurační soubor:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
S výše uvedenými dvěma pravidly bude přepínání uživatelů pomocí su omezeno na:
- Pouze uživatel ve skupině „adminmembers“ (např. v tomto případě oracle) může přejít na správce pomocí „su – admin“ s platným heslem
- Uživatelé ve skupině „adminmembers“ mohou přepnout na „admin“ pouze pomocí „su – admin“, přepnutí na jiné uživatele se stále nezdaří
- Uživatelé, kteří NEJSOU ve skupině „adminmembers“, nemohou použít „su“ k přepínání uživatelů
- Uživatel root se může stále přepínat na libovolného jiného uživatele
- Připomínáme, že výše uvedené nastavení lze vzít v úvahu pouze v případě, že potřebujete tak přísné zásady. Obecně se použití sudo doporučuje k dosažení adaptivnějších zásad přepínání.