Restringir su a um grupo de usuários

6

Existe alguma maneira de restringir su a um grupo específico de usuários?

Ao pesquisar pela web, me deparei com o conceito de sugroup do IBM AIX. Sempre que um usuário é criado, o atributo sugroup pode ser definido; e somente membros deste grupo podem supor a esse usuário.

sugroup pode ajudar-me a resolver o meu problema ao criar um grupo que contenha apenas determinados utilizadores com permissão para o su. Atribuir sugroup significa que usuários fora deste grupo não podem ser acessados por outros usuários. Mas esse conceito de sugroup não está disponível no Ubuntu. Como isso pode ser feito no Ubuntu?

Eu fiz a seguinte entrada em /etc/pam.d/su :

auth required pam_wheel.so group=sulogin

Eu criei o seguinte:

  • um grupo chamado sulogin , que é para usuários autorizados a su
  • os usuários que não pertencem a sulogin são user1 e user2
  • os usuários que pertencem a sulogin são admin1 e admin2

Agora, quando eu estiver logado como user1 e tentar su para admin1 ou admin2 , não tenho permissão para fazer isso. Isso é como por minha exigência. Quando eu estiver logado como user1 e tentar su para user2 , não tenho permissão para fazer isso. Isto não é conforme a minha exigência (embora minhas exigências não tenham sido claramente mencionadas na pergunta original).

Eu preciso restringir todos os usuários que não estão no grupo sulogin de usar qualquer usuário que pertença a sulogin group. Basicamente, 2 níveis de privilégio su. Então, no cenário acima mencionado:

  • user1 deve ser capaz de su a user2 e vice-versa
  • user1 ou user2 não deve ser capaz de su a admin1 ou admin2
  • admin1 deve ser capaz de su a user1 ou user2
por Manish 26.03.2015 / 19:13

1 resposta

6

O equivalente é possível no Ubuntu, apenas não está ativado por padrão. Confira /etc/pam.d/su :

# Uncomment this to force users to be a member of group root
# before they can use 'su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the 'SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

Portanto, remova o comentário dessa linha auth e, em seguida, su será restrito aos membros do grupo root . Ou descomente e adicione group=sulogin , se você quiser restringir ao grupo sulogin .

    
por muru 26.03.2015 / 19:25