Kako onemogućiti 'su' pristup za Sudo korisnike

Naredba su je posebna Linux naredba koja vam omogućava da pokrenete naredbu kao drugi korisnik i grupa. Takođe vam omogućava da se prebacite na root nalog (ako se pokrene bez ikakvih argumenata) ili na drugi određeni korisnički nalog.

Svim korisnicima je po defaultu dozvoljen pristup naredbi su. Ali kao sistem administrator, možete onemogućiti su pristup za korisnika ili grupu korisnika, koristeći datoteku sudoers kao što je objašnjeno u nastavku.

Datoteka sudoers pokreće sudo dodatak za sigurnosnu politiku koji određuje korisnikove sudo privilegije. sudo komanda omogućava korisnicima da pokreću programe sa sigurnosnim privilegijama drugog korisnika (podrazumevano, kao root korisnik).

Za prebacivanje na drugi korisnički račun, korisnik može pokrenuti naredbu su iz svoje trenutne sesije prijave kao što je prikazano. U ovom primjeru, korisnik aaronk prelazi na testuser račun. Od korisnika aaronk će biti zatraženo da unese lozinku za testuser račun:

su testuser

Da bi se prebacio na root nalog, korisnik mora imati root lozinku ili imati privilegije za pozivanje naredbe sudo. Drugim riječima, korisnik mora postojati u datoteci sudoers. U ovom primjeru, korisnik aaronk (sudo korisnik) prelazi na root račun.

Nakon pozivanja sudo, od korisnika aaronk se traži da unese svoju lozinku, ako je važeća, korisniku se odobrava pristup interaktivnoj ljusci kao root:

sudo su

Onemogućite su Access za Sudo korisnika

Da onemogućite pristup su za sudo korisnika, na primjer za aaronk korisnika iznad, prvo napravite sigurnosnu kopiju originalne sudoers datoteke koja se nalazi na /etc/sudoers kao što slijedi:

sudo cp /etc/sudoers /etc/sudoers.bak

Zatim otvorite sudoers datoteku koristeći sljedeću naredbu. Imajte na umu da se ne preporučuje ručno uređivanje sudoers datoteke, uvijek koristite naredbu visudo:

 
sudo visudo

U odjeljku naredbe aliases, kreirajte sljedeći pseudonim:

Cmnd_Alias DISABLE_SU = /bin/su

Zatim dodajte sljedeći red na kraj datoteke, zamijenite korisničko ime aaronk s korisnikom kojem želite onemogućiti su pristup:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Sačuvajte datoteku i zatvorite je.

Zatim testirajte da biste provjerili funkcionira li podešavanje na sljedeći način. Sistem bi trebao vratiti poruku o grešci poput ove: "Žao nam je, korisniku aaronk nije dozvoljeno da izvrši '/bin/su' kao root na tecmint-u. ".

sudo su

Onemogućite su Access za grupu Sudo korisnika

Također možete onemogućiti su pristup za grupu sudo korisnika. Na primjer da onemogućite pristup su za sve korisnike u grupi admin, izmijenite red:

%admin ALL=(ALL) ALL

za ovo:

%admin ALL=(ALL) ALL, !DISABLE_SU

Sačuvajte datoteku i zatvorite je.

Da dodate korisnika u grupu admin, pokrenite naredbu usermod (zamijenite korisničko ime stvarnim korisnikom):

sudo usermod -aG  admin  username

Za više informacija o su, sudo i sudoers, provjerite njihove man stranice:

man su
man sudo
man sudoers