限制su它仅适用于一部分用户登录听起来是强化安全性的好方法。这就是pam_wheel目的。
例子
root 帐户默认获得访问权限 (rootok),只有 Wheel 成员才能成为 root (wheel),但 Unix 对非 root 申请者进行身份验证。
su auth sufficient pam_rootok.so su auth required pam_wheel.so su auth required pam_unix.so
systemd-run(并且machinectl,正如man页面中提到的)允许以 root 身份运行命令。它使用PolicyKit 进行身份验证/授权。它不会打开 pam 会话。
那么...现在大型发行版都默认使用 systemd,对于这些systemd方法,pam_wheel 的等效配置是什么?
对于完全强化,这可能适用于其他一些服务。某些 libvirt 操作只能以 root 身份进行。所以默认情况下我怀疑这与 Docker 没有太大不同。授予对 Docker 守护进程(它从中读取请求的套接字文件)的访问权限相当于 root 访问权限,只需很少的工作。
如果这不像 pam_wheel 那样简单设置,是否有一些方便的自动化可以应用它?就我个人而言,我已经使用 Ansible 进行一些自动化,但我对任何可用的脚本作为示例感兴趣。