我是 Debian 新手,但学得非常快。
在 Debian Wheezy 上工作时,我意识到如果我使用 useradd 创建新用户,该用户将获得 sudo 权限!为了测试这一点,我通过 ssh 使用新用户登录,发现用户可以 sudo,并且系统会提示输入 root 密码,当新用户输入 root 密码时,用户将获得 root 访问权限!
当我运行时more /etc/group,sudo 组只有一个原始用户,该用户是我在安装 Debian 时创建的,具有 sudo 权限,这样为了安全起见,我就不必通过 root 登录。
但令我惊讶的是,每个新创建的用户,即使没有添加到 sudo 组,也都获得了 sudo 权限。为什么会发生这种情况?无论如何,我的/etc/sudoers文件中有以下几行未注释:
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
root ALL=(ALL:ALL) ALL
%sudo ALL=(ALL:ALL) ALL
我怀疑最后一行是造成这种情况的原因。是因为同样的原因吗?我如何才能阻止每个新用户获得 sudo 权限?谢谢。
答案1
您可以使用 pam_wheel 禁用不属于 wheel 组的用户的 su 访问。这需要您使用 添加 wheel 组addgroup --system wheel。
然后,使用 将应该有权访问 su 的用户添加到 wheel 组usermod -a -G wheel user。
最后,在 /etc/pam.d/su 中添加以下行:auth requisite pam_wheel.so group=wheel。