それなりに適当にやってます

なんとなくそれっぽいメモとか備忘録とか適当に。 2018年5月にブログ移転しました。 古い記事は未整理です。

rootユーザへの "su(switch user)" 制限と、他ユーザの "su" 許可


メモ

よくある方法だと root に su 出来るユーザを下記のような方法で制限する。
$ sudo cp /etc/pam.d/su{,.`date %Y%m%d`}
$ sudo vi /etc/pam.d/su
...
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid #<-★この行を有効化
...
root になれるユーザ(underboob)を\"wheel\"グループに所属させる。
$ sudo usermod -a -G wheel underboob
これだけ。

もしも "wheel" グループ以外のグループに "su" を許可させたい場合は、pam.d/su の末尾に group= を加える。
例)
$ sudo vi /etc/pam.d/su
...
auth required pam_wheel.so use_uid group=oppaioppai
...
ただしこのままだと wheel または指定したグループ以外 "su" 出来なくなる。 他ユーザに root への su を禁止しつつ、ユーザ同士の "su" は許可しておきたい場合 pam.d/su の use_uid の記述を root_only に書き換える。
例)
$ sudo vi /etc/pam.d/su
...
auth required pam_wheel.so root_only group=oppaioppai #<-★use_uidをroot_onlyに書き変え
...

いじょう(´・ω・`)