Apprenez à interdire aux utilisateurs ordinaires d'utiliser la commande su sous Linux

La commande

su est une commande spéciale qui permet à un utilisateur d'exécuter des commandes en tant qu'autre utilisateur et groupe. Il vous permet également de passer au compte root ou à un autre compte utilisateur désigné.

Pour passer à un autre compte utilisateur, les utilisateurs peuvent exécuter la commande su à partir de leur session de connexion actuelle, comme indiqué ci-dessous. Les utilisateurs peuvent changer d'utilisateur via su :

[bob@localhost ~]$ su - user01
Password:

Par défaut, la commande su est disponible pour tous les utilisateurs. Nous pouvons le commander en /etc/sudoers中禁用su.

Pour passer au compte root, l'utilisateur doit disposer du mot de passe root. Dans cet exemple, l'utilisateur passe au compte root.

[user01@localhost ~]$ su -
Password:

Désactiver l'accès su pour les utilisateurs ordinaires

Désactivez l'accès su pour les utilisateurs normaux. Tout d'abord, sauvegardez les fichiers originaux des éléments suivants /etc/sudoers comme indiqué ci-dessous :

[bob@localhost ~]$ sudo cp -p /etc/sudoers /etc/sudoers.back
[sudo] password for bob:

Utilisez la commande visudo pour ouvrir le fichier de configuration sudoers

[bob@localhost ~]$ sudo visudo

Ajoutez la ligne suivante sous la section ## Command Aliases :

Cmnd_Alias DISABLE_SU = /usr/bin/su

Ajoutez ensuite la ligne suivante à la fin du fichier, en remplaçant le nom d'utilisateur bob par l'utilisateur dont vous avez besoin pour désactiver su access :

bob ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Enregistrer et quitter

Utilisez l'utilisateur Bob pour vérifier. Le système devrait renvoyer le message d'erreur suivant : « Désolé, l'utilisateur bob n'est pas autorisé à exécuter « /bin/su – user01 » en tant que root sur localhost.localdomain. »

[bob@localhost ~]$ sudo su - user01
Sorry, user bob is not allowed to execute '/bin/su - user01' as root on localhost.localdomain.

Désactiver l'accès su pour le groupe d'utilisateurs

Vous pouvez également désactiver l'accès su pour un groupe d'utilisateurs. Par exemple, pour désactiver l'accès su pour tous les utilisateurs de la roue de groupe, vous pouvez exécuter la commande suivante :

[bob@localhost ~]$ sudo visudo

%wheel ALL=(ALL) ALL, !DISABLE_SU

Enregistrer et quitter~

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!