In alcune situazioni, è necessario limitare l'accesso su a:
– solo l'utente 'oracle' può passare a un utente particolare (ad es. passare ad admin tramite 'su – admin' per mantenere il sistema), il passaggio ad altri utenti lo farà ancora non riesce.
– altri utenti non possono accedere a su.
La modifica dell'impostazione PAM predefinita per su può raggiungere l'obiettivo. Passaggi seguenti per impostare la restrizione per su:
1. Crea un nuovo gruppo per Oracle a cui è consentito eseguire su:
# groupadd adminmembers
2. Aggiungi utenti (oracle) al gruppo:
# usermod -G adminmembers oracle
3. Crea il /etc/security/su-adminmembers-access file e aggiungi "admin" ad esso:
# cat /etc/security/su-adminmembers-access admin
Assicurati che /etc/security/su-adminmembers-access sia scrivibile solo per l'utente "root" e non per qualsiasi altro utente.
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. Aggiungi le seguenti regole a /etc/pam.d/su file di configurazione:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
Con le due regole di cui sopra, il passaggio da un utente a su sarà limitato a:
- Solo gli utenti nel gruppo "adminmembers" (ad es. in questo caso, oracle) possono passare ad admin tramite "su – admin" con passwd valido
- Gli utenti nel gruppo "adminmembers" possono passare a "admin" solo tramite "su – admin", il passaggio ad altri utenti continua a non riuscire
- Gli utenti NON nel gruppo "adminmembers" non possono utilizzare "su" per cambiare utente
- L'utente "root" può comunque passare a qualsiasi altro utente
- Ricorda che l'impostazione di cui sopra può essere presa in considerazione solo se hai bisogno di una politica su così rigorosa. In generale, si consiglia di utilizzare sudo per ottenere criteri di commutazione più adattivi.