我正在使用 Ubuntu 服务器 12.04。如果用户只是其所在组的成员,为什么他仍然可以执行 su SOME_OTHER_USER ?我可以阻止这种情况吗?
答案1
我找到了一个我非常喜欢的解决方案:
- sudo groupadd nosu
- sudo usermod -a -G nosu 用户名
- sudo vi /etc/pam.d/su
- 取消注释行:
需要身份验证 pam_wheel.so 拒绝组=nosu
答案2
如果您不希望用户执行“su”,您可以将其所有者设置为“root”,并将 chmod 设置为 700。然后只有 root 可以执行它。
如果您希望某个特殊组的用户执行“su”,您可以将其组设置为 - 比如说 - “wheel”。并将 chmod 设置为 770。并将所有必须执行“su”的用户放入 wheel 组。
答案3
我能想到两个明显的解释:
- 用户仍保留在从授予权限的组中删除之前创建的登录名
- /etc/sudoers 中明确列出了用户