Как сделать RHEL посмотреть access.conf для su -?

Я использую файл /etc/security/access.conf чтобы /etc/security/access.conf какие пользователи имеют доступ к серверу:

 + : root : LOCAL + : user1 : ALL + : user2 : ALL + : user3 : ALL - : ALL : ALL 

Это отлично подходит для новых сеансов SSH. Только эти 3 пользователя имеют доступ к серверу через SSH. К сожалению, после входа в систему они могут использовать su - для переключения на всех других пользователей.

Как я могу сделать su - также обратить внимание на файл /etc/security/access.conf чтобы /etc/security/access.conf были единственными пользователями, которые действительно могут использоваться через SSH?

  • scp без замены существующих файлов в месте назначения
  • текстовый файл в telnet через ssh
  • SSH замедляется при стартовой сессии
  • Создание клиентского VNC-соединения через SSH за один шаг (например, с опцией -via)
  • Мой ключ ssh не работает, разрешения выглядят хорошо
  • Как НЕ сохранить разрешение при использовании scp
  • Запуск процесса в удаленном браузере
  • SSH - невозможно получить доступ к локальному переходу с другого хоста
  • 3 Solutions collect form web for “Как сделать RHEL посмотреть access.conf для su -?”

    Как я могу сделать su – также обратите внимание на /etc/security/access.conf

    Вам нужно добавить следующую запись в /etc/pam.d/su , чтобы использовать /etc/security/access.conf для su -

     session required pam_access.so 

    Человек pam_access

    Модуль PAM pam_access предназначен главным образом для управления доступом. Он обеспечивает контроль входа в систему logdaemon, основанный на именах пользователей, именах хостов или доменов, интернет-адресах или сетевых номерах или именах терминалов в случае несетевых подключений.

    По умолчанию правила управления доступом берутся из файла конфигурации /etc/security/access.conf, если вы не укажете другой файл

    Как я могу сделать su - также обратить внимание на файл /etc/security/access.conf чтобы /etc/security/access.conf были единственными пользователями, которые действительно могут использоваться через SSH?

    su фактически обращает внимание на ваш /etc/security/access.conf . Проблема в том, что, как только эти пользователи открыли оболочку после входа в систему через SSH, они на самом деле локальны. Просто тот факт, что они используют SSH для доступа к машине, не делает их сеансы отличными от локального входа в TTY.

    Я не думаю, что вы можете или должны помешать им запустить su . Конечно, вы можете попытаться ограничить права на чтение / выполнение для su чтобы они не запускали его, но это, вероятно, сломает материал.

    Вы можете попробовать этот метод, в котором используется группа wheel .

    1. Добавить пользователя в группу колес

       $ sudo usermod -G wheel user1 
    2. Изменить файл pam su

       $ sudo vim /etc/pam.d/su 
    3. Сделайте эту строку похожей на одну из следующих

       auth required /lib/security/pam_wheel.so use_uid -or- auth required pam_wheel.so use_uid 

    пример

    В моей системе Fedora 14 файл /etc/pam.d/su был следующим:

     # Uncomment the following line to require a user to be in the "wheel" group. #auth required pam_wheel.so use_uid 

    Таким образом, просто раскомментировав эту строку, она сделала так, чтобы только пользователи в группе wheel могли получить доступ к команде su .

    если вы это сделаете?

    Я бы, вероятно, призывал вас не делать этого таким образом. Возможно, вам захочется изучить использование sudo если пользователям необходимо стать другими пользователями.

    Interesting Posts

    Как я могу добавить заголовок к файлу при использовании cat?

    Установите переменную окружения $ PATH глобально на Ubuntu 14.04

    Как я могу показать дерево процессов в терминальной оболочке, включая детей?

    Выделение пользовательского синтаксиса в Gedit

    Графическое исправление ошибок? Исправленный файл op оставил тень «почти drag-n-drop» файла, как его удалить?

    Условно разблокировать пароль, в файловой системе только для чтения

    как добавить строки новой строки между строками, напечатанными в командной строке?

    Как узнать, какие ключи gpg-agent были кэшированы? (например, как ssh-add -l показывает кэшированные ключи ssh)

    Удаление строки из файла, который имеет только определенный символ

    Основанный на Qualcomm модем Venus преобразован в ttyUSB0, но не отвечает навсегда на fedora 18

    Как отключить процесс из сценария bash?

    Как загрузить все дистрибутивы FreeBSD

    Добавить в файлы

    Отображение UID каталогов Active Directory для конкретных UID Unix

    Что означает «Обновление для зависимостей» yum?

    Linux и Unix - лучшая ОС в мире.