Cómo deshabilitar el acceso 'SU' para los usuarios de sudo
- 2419
- 747
- Mario Gollum
El comando SU es un comando especial de Linux que le permite ejecutar un comando como otro usuario y grupo. También le permite cambiar a la cuenta raíz (si se ejecuta sin ningún argumento) u otra cuenta de usuario especificada.
Todos los usuarios por defecto pueden acceder a la SU dominio. Pero como administrador del sistema, puede deshabilitar el acceso SU para un usuario o grupo de usuarios, utilizando el sudoers Archivo como se explica a continuación.
El archivo de sudoers impulsa el sudo complemento de política de seguridad que determina los privilegios de sudo de un usuario. El comando sudo Permite a los usuarios ejecutar programas con los privilegios de seguridad de otro usuario (de forma predeterminada, como el usuario root).
Para cambiar a otra cuenta de usuario, un usuario puede ejecutar el SU Comando desde su sesión de inicio de sesión actual como se muestra. En este ejemplo, el usuario aaronk está cambiando a un testuser cuenta. El usuario aaronk se le pedirá que ingrese la contraseña para la cuenta testuser:
$ su testuserCambiar a un usuario diferente
Para cambiar a la cuenta raíz, un usuario debe tener la contraseña de root o tener privilegios para invocar el comando sudo. En otras palabras, el usuario debe existir en el archivo de sudoers. En este ejemplo, el usuario aaronk (un usuario de sudo) está cambiando a la cuenta raíz.
Después de invocar sudo, el usuario aaronk se le solicita que ingrese su contraseña, si es válida, se le otorga acceso al usuario a un shell interactivo como root:
$ sudo suCambiar al usuario de la raíz
Deshabilitar el acceso a SU para un usuario de sudo
Deshabilitar SU Acceso para un usuario de sudo, por ejemplo, el aaronk El usuario anterior, primero, respalde el archivo original de sudoers ubicado en /etc/sudoers como sigue:
$ sudo cp /etc /sudoers /etc /sudoers.bak
Luego abra el archivo de sudoers usando el siguiente comando. Tenga en cuenta que no se recomienda editar el archivo de sudoers a mano, siempre use el visudo dominio:
$ sudo visudo
Debajo de la sección de comando alias, Crea el siguiente alias:
Cmnd_alias disable_su = /bin /su
Luego agregue la siguiente línea al final del archivo, reemplace el nombre de usuario aaronk con el usuario que desea deshabilitar SU Acceso para:
aaronk all = (todos) nopasswd: todos, !Deshabilitar_su
Guarde el archivo y cierre.
Luego prueba para verificar que la configuración funcione de la siguiente manera. El sistema debe devolver un mensaje de error como este: "Lo siento, el usuario Aaronk no puede ejecutar '/bin/su' como root en TecMint.".
$ sudo suDeshabilitar el acceso a SU al usuario de sudo
Deshabilitar el acceso SU para un grupo de usuarios de sudo
También puedes deshabilitar SU Acceso para un grupo de usuarios de sudo. Por ejemplo para deshabilitar SU Acceso para todos los usuarios del grupo administración, Modificar la línea:
%admin all = (todos) todos
a esto:
%admin all = (todos) todos, !Deshabilitar_su
Guarde el archivo y cierre.
Para agregar un usuario al administración grupo, ejecute el comando usermod (reemplace el nombre de usuario con el usuario real):
$ sudo usermod -ag name de usuario de administración
Para más información sobre el SU, sudo y sudoers, Revise las páginas de sus hombres:
$ man su $ hombre sudo $ hombre sudoers
- « Las mejores distribuciones livianas de Linux para computadoras más antiguas
- Cómo instalar WordPress en RHEL 8 con Nginx »