Como conceder acesso su sem senha a um usuário apenas no grupo wheel (FreeBSD)?

3

Eu sei como ativar o su sem uma senha para todos os usuários do grupo wheel adicionando a linha de configuração apropriada em /etc/pam.d/su .

Eu não quero habilitar isso para todos os usuários, mas apenas um usuário em particular.

Estou usando o FreeBSD 8.1. Como eu faço isso?

UPDATE em resposta aos comentários abaixo

Esta é uma caixa pfSense. O SO subjacente é o FreeBSD 8.1, mas, como de costume para o pfSense, falta muita funcionalidade, principalmente a coleção de ports. Desejo ter um usuário privilegiado (no grupo wheel) capaz de invocar su - sem precisar digitar a senha raiz. Habilitar isso para todos os usuários usando PAM é fácil. Eu não sei a configuração correta do PAM para permitir ignorar a senha de um usuário em particular. Eu sou limitado pela política da empresa quanto à alteração que posso fazer. Esta é uma máquina de missão crítica em funcionamento e não posso correr o risco de a derrubar acidentalmente. Eu herdei a administração desta máquina, mas mudanças radicais em sua configuração não são praticáveis ou permissíveis no presente momento. Eu tenho o PAM; Eu não tenho sudo. Eu queria ter feito isso, mas não sei.

    
por David G 19.12.2012 / 22:29

4 respostas

1

O FreeBSD tem grupos privados de usuários? Caso contrário, crie um grupo e coloque apenas esse usuário nele. Então, em /etc/pam.d/su , adicione algo como

auth            sufficient      pam_group.so            no_warn group=foo

em que foo é o nome do grupo.

    
por 20.12.2012 / 02:40
3

Sugiro usar sudo para fazer isso. É um método fácil e bem testado.

Por favor, refira-se à página man do sudo para mais informações.

    
por 19.12.2012 / 22:43
0

O que há de errado em colocar apenas um usuário no grupo wheel?

    
por 20.12.2012 / 01:29
0

Mark Wagner veio com uma solução, pelo qual muito obrigado. Eu criei um grupo nopw e adicionei o usuário privilegiado a ele. Então eu fiz uma regra no_warn 'suficiente' para esse grupo usando apenas o módulo pam_group.so. Agora, a seção auth do meu arquivo /etc/pam.d/su se parece com:

auth   sufficient   pam_rootok.so   no_warn
auth   sufficient   pam_self.so     no_warn
auth   sufficient   pam_group.so    no_warn group=nopw root_only fail_safe
auth   requisite    pam_group.so    no_warn group=wheel root_only fail_safe
auth   include      system
    
por 20.12.2012 / 15:35