So deaktivieren Sie Su -Access für sudo -Benutzer

So deaktivieren Sie Su -Access für sudo -Benutzer

Der SU -Befehl ist ein spezieller Linux -Befehl, mit dem Sie einen Befehl als einen anderen Benutzer und eine Gruppe ausführen können. Sie können auch zum Stammkonto (falls ohne Argumente ausgeführt) oder ein anderes angegebenes Benutzerkonto wechseln.

Standardmäßig dürfen alle Benutzer auf die zugreifen su Befehl. Als Systemadministrator können Sie jedoch den SU ​​-Zugriff für einen Benutzer oder eine Gruppe von Benutzern mithilfe dessen deaktivieren sudoers Datei wie unten erläutert.

Die Sudoers -Datei treibt die sudo Sicherheitsrichtlinien -Plugin, das die Sudo -Berechtigungen eines Benutzers bestimmt. Der Sudo -Befehl Ermöglicht Benutzern, Programme mit den Sicherheitsberechtigten eines anderen Benutzers auszuführen (standardmäßig als Stammbenutzer).

Um zu einem anderen Benutzerkonto zu wechseln, kann ein Benutzer die ausführen su Befehl aus ihrer aktuellen Anmeldesitzung wie gezeigt. In diesem Beispiel der Benutzer Aaronk Wechselt zu a Testuser Konto. Der Benutzer Aaronk wird aufgefordert, das Passwort für das TestUser -Konto einzugeben:

$ su testuser 
Wechseln Sie zu einem anderen Benutzer

Um zum Root -Konto zu wechseln, muss ein Benutzer über das Stammkennwort oder über die Berechtigungen verfügen, um den Sudo -Befehl aufzurufen. Mit anderen Worten muss der Benutzer in der Sudoers -Datei existieren. In diesem Beispiel der Benutzer Aaronk (Ein Sudo -Benutzer) wechselt zum Stammkonto.

Nach dem Aufrufen sudo, der Benutzer Aaronk wird aufgefordert, sein Passwort einzugeben. Wenn es gültig ist, wird dem Benutzer Zugriff auf eine interaktive Hülle als Stamm erhalten:

$ sudo su 
Wechseln Sie zum Root -Benutzer

Deaktivieren Sie den SU ​​-Zugriff für einen Sudo -Benutzer

Etwas deaktivieren su Zugriff auf einen sudo -Benutzer zum Beispiel die Aaronk Benutzer oben, zuerst die ursprüngliche Sudoers /etc/sudoers folgendermaßen:

$ sudo cp /etc /sudoers /etc /sudoers.Bak 

Öffnen Sie dann die Sudoers -Datei mit dem folgenden Befehl. Beachten Sie, dass es nicht empfohlen wird, die Sudoers -Datei von Hand zu bearbeiten. Verwenden Sie immer die Visudo Befehl:

 $ sudo visudo 

Unter dem Befehlsabschnitt Aliase, Erstellen Sie den folgenden Alias:

Cmnd_alias disable_su = /bin /su 

Fügen Sie dann die folgende Zeile am Ende der Datei hinzu, ersetzen Sie den Benutzernamen Aaronk Mit dem Benutzer möchten Sie deaktivieren su Zugang für:

Aaronk alle = (alle) nopasswd: alle, !Deaktivieren_su 

Speichern Sie die Datei und schließen Sie sie.

Testen Sie dann, um zu überprüfen, ob das Setup wie folgt funktioniert. Das System sollte eine solche Fehlermeldung zurückgeben: “Entschuldigung, Benutzer Aaronk darf '/bin/su' nicht als Root auf Tecmint ausführen.”.

$ sudo su 
Deaktivieren Sie den SU ​​-Zugriff auf den Sudo -Benutzer

Deaktivieren Sie den SU ​​-Zugriff für eine Gruppe von Sudo -Benutzern

Sie können auch deaktivieren su Zugriff für eine Gruppe von Sudo -Benutzern. Zum Beispiel zu deaktivieren su Zugriff für alle Benutzer in der Gruppe Administrator, Ändern Sie die Zeile:

%adminal alle = (alle) alle 

dazu:

%adminal alle = (alle) alle, !Deaktivieren_su 

Speichern Sie die Datei und schließen Sie sie.

Um einen Benutzer zu dem hinzuzufügen Administrator Gruppe, den Befehl usermod ausführen (Benutzername durch den tatsächlichen Benutzer ersetzen):

$ sudo usermod -Ag admin Benutzername 

Weitere Informationen über die su, sudo Und sudoers, Überprüfen Sie ihre Mannseiten:

$ MAN SU $ MAN SUDO $ MAN Sudoers