Kako onemogočiti dostop su za uporabnike Sudo

Ukaz su je poseben ukaz Linuxa, ki vam omogoča, da zaženete ukaz kot drug uporabnik in skupina. Omogoča vam tudi preklop na korenski račun (če se izvaja brez argumentov) ali drug določen uporabniški račun.

Vsem uporabnikom je privzeto dovoljen dostop do ukaza su. Toda kot sistemski skrbnik lahko onemogočite dostop do su za uporabnika ali skupino uporabnikov z uporabo datoteke sudoers, kot je razloženo spodaj.

Datoteka sudoers poganja vtičnik varnostne politike sudo, ki določa uporabnikove privilegije sudo. Ukaz sudo uporabnikom omogoča zagon programov z varnostnimi privilegiji drugega uporabnika (privzeto kot root uporabnik).

Za preklop na drug uporabniški račun lahko uporabnik zažene ukaz su iz svoje trenutne prijavne seje, kot je prikazano. V tem primeru uporabnik aaronk preklopi na račun testnega uporabnika. Uporabnik aaronk bo pozvan, da vnese geslo za račun testuser:

$ su testuser

Za preklop na korenski račun mora uporabnik imeti korensko geslo ali imeti privilegije za priklic ukaza sudo. Z drugimi besedami, uporabnik mora obstajati v datoteki sudoers. V tem primeru uporabnik aaronk (uporabnik sudo) preklopi na korenski račun.

Po priklicu sudo se uporabnik aaronk pozove, da vnese svoje geslo, če je veljavno, se uporabniku odobri dostop do interaktivne lupine kot root:

$ sudo su

Onemogoči su Access za uporabnika Sudo

Če želite onemogočiti dostop do sudo uporabnika, na primer zgornjega uporabnika aaronk, najprej varnostno kopirajte izvirno datoteko sudoers, ki se nahaja na /etc/sudoers, kot sledi:

$ sudo cp /etc/sudoers /etc/sudoers.bak

Nato odprite datoteko sudoers z naslednjim ukazom. Upoštevajte, da ni priporočljivo ročno urejati datoteke sudoers, vedno uporabite ukaz visudo:

 
$ sudo visudo

V razdelku vzdevkov ukazov ustvarite naslednji vzdevek:

Cmnd_Alias DISABLE_SU = /bin/su

Nato dodajte naslednjo vrstico na koncu datoteke, zamenjajte uporabniško ime aaronk z uporabnikom, za katerega želite onemogočiti dostop do:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Shranite datoteko in jo zaprite.

Nato preizkusite, da preverite, ali nastavitev deluje, kot sledi. Sistem bi moral vrniti sporočilo o napaki, kot je to: \Oprostite, uporabniku aaronk ni dovoljeno izvajati '/bin/su' kot root na tecmint.

$ sudo su

Onemogoči su Access za skupino uporabnikov Sudo

Dostop do suda lahko tudi onemogočite za skupino uporabnikov sudo. Če želite na primer onemogočiti dostop do su za vse uporabnike v skrbniku skupine, spremenite vrstico:

%admin ALL=(ALL) ALL

za to:

%admin ALL=(ALL) ALL, !DISABLE_SU

Shranite datoteko in jo zaprite.

Če želite dodati uporabnika v skrbniško skupino, zaženite ukaz usermod (uporabniško ime zamenjajte z dejanskim uporabnikom):

$ sudo usermod -aG  admin  username

Za več informacij o su, sudo in sudoers preverite njihove strani priročnika:

$ man su
$ man sudo
$ man sudoers