Maison >Tutoriel système >Linux >Apprenez à interdire aux utilisateurs ordinaires d'utiliser la commande su sous Linux
La commande
su est une commande spéciale qui permet à un utilisateur d'exécuter des commandes en tant qu'autre utilisateur et groupe. Il vous permet également de passer au compte root ou à un autre compte utilisateur désigné.
Pour passer à un autre compte utilisateur, les utilisateurs peuvent exécuter la commande su à partir de leur session de connexion actuelle, comme indiqué ci-dessous. Les utilisateurs peuvent changer d'utilisateur via su :
[bob@localhost ~]$ su - user01 Password:
Par défaut, la commande su est disponible pour tous les utilisateurs. Nous pouvons le commander en /etc/sudoers
中禁用su
.
Pour passer au compte root, l'utilisateur doit disposer du mot de passe root. Dans cet exemple, l'utilisateur passe au compte root.
[user01@localhost ~]$ su - Password:
Désactivez l'accès su pour les utilisateurs normaux. Tout d'abord, sauvegardez les fichiers originaux des éléments suivants /etc/sudoers
comme indiqué ci-dessous :
[bob@localhost ~]$ sudo cp -p /etc/sudoers /etc/sudoers.back [sudo] password for bob:
Utilisez la commande visudo
pour ouvrir le fichier de configuration sudoers
[bob@localhost ~]$ sudo visudo
Ajoutez la ligne suivante sous la section ## Command Aliases
:
Cmnd_Alias DISABLE_SU = /usr/bin/su
Ajoutez ensuite la ligne suivante à la fin du fichier, en remplaçant le nom d'utilisateur bob par l'utilisateur dont vous avez besoin pour désactiver su access :
bob ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU
Enregistrer et quitter
Utilisez l'utilisateur Bob pour vérifier. Le système devrait renvoyer le message d'erreur suivant : « Désolé, l'utilisateur bob n'est pas autorisé à exécuter « /bin/su – user01 » en tant que root sur localhost.localdomain. »
[bob@localhost ~]$ sudo su - user01 Sorry, user bob is not allowed to execute '/bin/su - user01' as root on localhost.localdomain.
Vous pouvez également désactiver l'accès su pour un groupe d'utilisateurs. Par exemple, pour désactiver l'accès su pour tous les utilisateurs de la roue de groupe, vous pouvez exécuter la commande suivante :
[bob@localhost ~]$ sudo visudo %wheel ALL=(ALL) ALL, !DISABLE_SU
Enregistrer et quitter~
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!