Como desativar o acesso 'su' para usuários de sudo
- 3267
- 670
- Maurice Champlin
O comando SU é um comando Linux especial que permite executar um comando como outro usuário e grupo. Ele também permite que você mude para a conta raiz (se executado sem argumentos) ou outra conta de usuário especificada.
Todos os usuários por padrão podem acessar o su comando. Mas como administrador do sistema, você pode desativar o acesso SU para um usuário ou grupo de usuários, usando o sudoers arquivo conforme explicado abaixo.
O arquivo sudoers dirige o sudo Plugin de política de segurança que determina os privilégios do sudo de um usuário. O Comando sudo Permite que os usuários executem programas com os privilégios de segurança de outro usuário (por padrão, como usuário root).
Para mudar para outra conta de usuário, um usuário pode executar o su comando de sua sessão de login atual, como mostrado. Neste exemplo, o usuário Aaronk está mudando para um testuser conta. O usuário Aaronk será solicitado a inserir a senha da conta do testuser:
$ su testuser
Mudar para um usuário diferente Para mudar para a conta raiz, um usuário deve ter a senha raiz ou ter privilégios para invocar o comando sudo. Em outras palavras, o usuário deve existir no arquivo sudoers. Neste exemplo, o usuário Aaronk (um usuário sudo) está mudando para a conta raiz.
Depois de invocar sudo, o usuário Aaronk é solicitado a inserir sua senha, se for válida, o usuário recebe acesso a um shell interativo como root:
$ sudo su
Mudar para o usuário root Desative o acesso SU para um usuário sudo
Desabilitar su acesso a um usuário sudo, por exemplo, o Aaronk Usuário acima, primeiro, faça backup do arquivo sudoers original localizado em /etc/sudoers do seguinte modo:
$ sudo cp /etc /sudoers /etc /sudoers.Bak
Em seguida, abra o arquivo sudoers usando o seguinte comando. Observe que não é recomendado editar o arquivo sudoers manualmente, sempre use o Visudo comando:
$ sudo visudo
Sob a seção de comando apelido, Crie o seguinte alias:
Cmnd_alias desabille_su = /bin /su
Em seguida, adicione a seguinte linha no final do arquivo, substitua o nome de usuário Aaronk com o usuário que você deseja desativar su Acesso para:
aaronk all = (all) NoPasswd: todos, !Desabille_su
Salve o arquivo e feche-o.
Em seguida, teste para verificar se a configuração está funcionando da seguinte forma. O sistema deve retornar uma mensagem de erro como esta: “Desculpe, o usuário Aaronk não tem permissão para executar '/bin/su' como raiz no Tecmint.”.
$ sudo su
Desative SU Acesso ao usuário sudo Desative o acesso SU para um grupo de usuários do sudo
Você também pode desativar su Acesso para um grupo de usuários de sudo. Por exemplo para desativar su Acesso para todos os usuários do grupo admin, Modifique a linha:
%admin all = (todos) todos
para isso:
%admin all = (todos) todos, !Desabille_su
Salve o arquivo e feche-o.
Para adicionar um usuário ao admin Grupo, execute o comando UserMod (substitua o nome de usuário pelo usuário real):
$ sudo userMod -Ag Admin Nome de usuário
Para mais informações sobre o su, sudo e sudoers, Verifique as páginas do homem:
$ MAN SU $ MAN SUDO $ MAN SUDOERS
- « Melhores distribuições Linux leves para computadores mais antigos
- Como instalar o WordPress no RHEL 8 com Nginx »