如何让一个用户可以“su”为另一个用户,但不允许“su”为 root

如何让一个用户可以“su”为另一个用户,但不允许“su”为 root

在我的服务器中,我有 2 个组:ssh-userssu-users

ssh-users保存我与之 ssh 到框的用户。用户sshu是 的成员ssh-users。登录到服务器后,我希望ssh-users成员能够对su-users组用户执行 su但我不想要它们有能力去su root

su-users持有可以执行核心工作的用户,并希望他们拥有su对 root 或任何用户执行的权限。

我如何在 Debian 上实现这一点?

我尝试了该pam_wheel.so模块,/etc/pam.d/su但我提到的任何组都允许 su 到 root。

我也尝试过这个但没有效果:https://superuser.com/a/398087/119486

答案1

这是默认方式su。您需要做的就是确保您的root密码是安全的。su任何用户,您需要知道该用户的密码。因此,如果您ssh-users没有 root 的密码,他们将无法切换到 root。只要他们有目标用户的密码,他们就可以切换su到该用户。

我不明白您还需要什么。

相关内容