Как сделать RHEL посмотреть access.conf для su -?

Я использую файл /etc/security/access.conf чтобы /etc/security/access.conf какие пользователи имеют доступ к серверу:

 + : root : LOCAL + : user1 : ALL + : user2 : ALL + : user3 : ALL - : ALL : ALL 

Это отлично подходит для новых сеансов SSH. Только эти 3 пользователя имеют доступ к серверу через SSH. К сожалению, после входа в систему они могут использовать su - для переключения на всех других пользователей.

  • rsync bash скрипт "не удалось установить"
  • Определение состояния пароля для пользователя
  • Удаленная компиляция и запуск программы с использованием ssh и экрана
  • Как включить использование команд на удаленном хосте с помощью ssh без пароля?
  • Получение no tty присутствует и не запрашивать программу, указанную при использовании git over ssh
  • Выполнять команду в sftp-подключении через скрипт
  • Как я могу сделать su - также обратить внимание на файл /etc/security/access.conf чтобы /etc/security/access.conf были единственными пользователями, которые действительно могут использоваться через SSH?

  • Может ли sshd ограничить конечные точки клиентского туннеля на localhost?
  • Какие порты будут использовать ssh-демон?
  • Вход в SSH продолжает пинать меня
  • Ошибка ssh на удаленную машину через имя хоста
  • Какую оболочку по умолчанию использовать для пользователя SSH, ограниченного одной командой
  • Как подключиться к ssh-серверу, запущенному на встроенном Linux, без / etc / passwd?
  • 3 Solutions collect form web for “Как сделать RHEL посмотреть access.conf для su -?”

    Как я могу сделать su – также обратите внимание на /etc/security/access.conf

    Вам нужно добавить следующую запись в /etc/pam.d/su , чтобы использовать /etc/security/access.conf для su -

     session required pam_access.so 

    Человек pam_access

    Модуль PAM pam_access предназначен главным образом для управления доступом. Он обеспечивает контроль входа в систему logdaemon, основанный на именах пользователей, именах хостов или доменов, интернет-адресах или сетевых номерах или именах терминалов в случае несетевых подключений.

    По умолчанию правила управления доступом берутся из файла конфигурации /etc/security/access.conf, если вы не укажете другой файл

    Как я могу сделать su - также обратить внимание на файл /etc/security/access.conf чтобы /etc/security/access.conf были единственными пользователями, которые действительно могут использоваться через SSH?

    su фактически обращает внимание на ваш /etc/security/access.conf . Проблема в том, что, как только эти пользователи открыли оболочку после входа в систему через SSH, они на самом деле локальны. Просто тот факт, что они используют SSH для доступа к машине, не делает их сеансы отличными от локального входа в TTY.

    Я не думаю, что вы можете или должны помешать им запустить su . Конечно, вы можете попытаться ограничить права на чтение / выполнение для su чтобы они не запускали его, но это, вероятно, сломает материал.

    Вы можете попробовать этот метод, в котором используется группа wheel .

    1. Добавить пользователя в группу колес

       $ sudo usermod -G wheel user1 
    2. Изменить файл pam su

       $ sudo vim /etc/pam.d/su 
    3. Сделайте эту строку похожей на одну из следующих

       auth required /lib/security/pam_wheel.so use_uid -or- auth required pam_wheel.so use_uid 

    пример

    В моей системе Fedora 14 файл /etc/pam.d/su был следующим:

     # Uncomment the following line to require a user to be in the "wheel" group. #auth required pam_wheel.so use_uid 

    Таким образом, просто раскомментировав эту строку, она сделала так, чтобы только пользователи в группе wheel могли получить доступ к команде su .

    если вы это сделаете?

    Я бы, вероятно, призывал вас не делать этого таким образом. Возможно, вам захочется изучить использование sudo если пользователям необходимо стать другими пользователями.

    Linux и Unix - лучшая ОС в мире.