Kako onemogočiti dostop su za uporabnike Sudo
Ukaz su je poseben ukaz Linuxa, ki vam omogoča, da zaženete ukaz kot drug uporabnik in skupina. Omogoča vam tudi preklop na korenski račun (če se izvaja brez argumentov) ali drug določen uporabniški račun.
Vsem uporabnikom je privzeto dovoljen dostop do ukaza su. Toda kot sistemski skrbnik lahko onemogočite dostop do su za uporabnika ali skupino uporabnikov z uporabo datoteke sudoers, kot je razloženo spodaj.
Datoteka sudoers poganja vtičnik varnostne politike sudo, ki določa uporabnikove privilegije sudo. Ukaz sudo uporabnikom omogoča zagon programov z varnostnimi privilegiji drugega uporabnika (privzeto kot root uporabnik).
Za preklop na drug uporabniški račun lahko uporabnik zažene ukaz su iz svoje trenutne prijavne seje, kot je prikazano. V tem primeru uporabnik aaronk preklopi na račun testnega uporabnika. Uporabnik aaronk bo pozvan, da vnese geslo za račun testuser:
$ su testuser
Za preklop na korenski račun mora uporabnik imeti korensko geslo ali imeti privilegije za priklic ukaza sudo. Z drugimi besedami, uporabnik mora obstajati v datoteki sudoers. V tem primeru uporabnik aaronk (uporabnik sudo) preklopi na korenski račun.
Po priklicu sudo se uporabnik aaronk pozove, da vnese svoje geslo, če je veljavno, se uporabniku odobri dostop do interaktivne lupine kot root:
$ sudo su
Onemogoči su Access za uporabnika Sudo
Če želite onemogočiti dostop do sudo uporabnika, na primer zgornjega uporabnika aaronk, najprej varnostno kopirajte izvirno datoteko sudoers, ki se nahaja na /etc/sudoers, kot sledi:
$ sudo cp /etc/sudoers /etc/sudoers.bak
Nato odprite datoteko sudoers z naslednjim ukazom. Upoštevajte, da ni priporočljivo ročno urejati datoteke sudoers, vedno uporabite ukaz visudo:
$ sudo visudo
V razdelku vzdevkov ukazov ustvarite naslednji vzdevek:
Cmnd_Alias DISABLE_SU = /bin/su
Nato dodajte naslednjo vrstico na koncu datoteke, zamenjajte uporabniško ime aaronk z uporabnikom, za katerega želite onemogočiti dostop do:
aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU
Shranite datoteko in jo zaprite.
Nato preizkusite, da preverite, ali nastavitev deluje, kot sledi. Sistem bi moral vrniti sporočilo o napaki, kot je to: \Oprostite, uporabniku aaronk ni dovoljeno izvajati '/bin/su' kot root na tecmint.
$ sudo su
Onemogoči su Access za skupino uporabnikov Sudo
Dostop do suda lahko tudi onemogočite za skupino uporabnikov sudo. Če želite na primer onemogočiti dostop do su za vse uporabnike v skrbniku skupine, spremenite vrstico:
%admin ALL=(ALL) ALL
za to:
%admin ALL=(ALL) ALL, !DISABLE_SU
Shranite datoteko in jo zaprite.
Če želite dodati uporabnika v skrbniško skupino, zaženite ukaz usermod (uporabniško ime zamenjajte z dejanskim uporabnikom):
$ sudo usermod -aG admin username
Za več informacij o su, sudo in sudoers preverite njihove strani priročnika:
$ man su $ man sudo $ man sudoers