Kuinka poistaa "su"-käyttö käytöstä Sudo-käyttäjiltä

Su-komento on erityinen Linux-komento, jonka avulla voit suorittaa komennon toisena käyttäjänä ja ryhmänä. Sen avulla voit myös vaihtaa pääkäyttäjätiliin (jos se suoritetaan ilman argumentteja) tai toiseen määritettyyn käyttäjätiliin.

Kaikki käyttäjät saavat oletusarvoisesti käyttää su-komentoa. Järjestelmänvalvojana voit kuitenkin estää käyttäjän tai käyttäjäryhmän su-käytön käyttämällä sudoers-tiedostoa alla kuvatulla tavalla.

Sudoers-tiedosto ohjaa sudo-suojauskäytäntölaajennusta, joka määrittää käyttäjän sudo-oikeudet. sudo-komennon avulla käyttäjät voivat suorittaa ohjelmia toisen käyttäjän suojausoikeuksilla (oletuksena pääkäyttäjänä).

Vaihtaakseen toiseen käyttäjätiliin käyttäjä voi suorittaa su-komennon nykyisestä kirjautumisistunnostaan kuvan mukaisesti. Tässä esimerkissä käyttäjä aaronk on vaihtamassa testuser -tiliin. Käyttäjää aaronk pyydetään antamaan testikäyttäjätilin salasana:

su testuser

Pääkäyttäjätilille siirtyminen edellyttää, että käyttäjällä on pääkäyttäjän salasana tai oikeudet kutsua sudo-komentoa. Toisin sanoen käyttäjän on oltava sudoers-tiedostossa. Tässä esimerkissä käyttäjä aaronk (sudo-käyttäjä) on siirtymässä juuritiliin.

Kun sudo on käynnistetty, käyttäjää aaronk pyydetään syöttämään salasanansa. Jos se on kelvollinen, käyttäjälle myönnetään pääsy interaktiiviseen komentotulkoon pääkäyttäjänä:

sudo su

Poista käyttöoikeudet Sudo-käyttäjältä

Jos haluat estää su-käytön sudo-käyttäjältä, esimerkiksi yllä olevalta aaronk-käyttäjältä, varmuuskopioi ensin alkuperäinen sudoers-tiedosto osoitteessa /etc/sudoers. seuraavasti:

sudo cp /etc/sudoers /etc/sudoers.bak

Avaa sitten sudoers-tiedosto seuraavalla komennolla. Huomaa, että ei ole suositeltavaa muokata sudoers-tiedostoa käsin, vaan käytä aina visudo-komentoa:

 
sudo visudo

Luo seuraava alias komennon aliakset alle:

Cmnd_Alias DISABLE_SU = /bin/su

Lisää sitten seuraava rivi tiedoston loppuun, korvaa käyttäjänimi aaronk sillä käyttäjällä, jolta haluat estää su-käytön:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Tallenna tiedosto ja sulje se.

Testaa sitten, että asennus toimii seuraavasti. Järjestelmän pitäisi palauttaa seuraavanlainen virheilmoitus: "Anteeksi, käyttäjä aaronk ei saa suorittaa '/bin/su' pääkäyttäjänä tecmintissä. ".

sudo su

Poista su-käyttö käytöstä Sudo-käyttäjien ryhmältä

Voit myös poistaa su-käytön käytöstä sudo-käyttäjien ryhmältä. Esimerkiksi, jos haluat poistaa su-käytön kaikilta ryhmän admin käyttäjiltä, muokkaa riviä:

%admin ALL=(ALL) ALL

tähän:

%admin ALL=(ALL) ALL, !DISABLE_SU

Tallenna tiedosto ja sulje se.

Lisää käyttäjä admin-ryhmään suorittamalla usermod-komento (korvaa käyttäjänimi todellisella käyttäjällä):

sudo usermod -aG  admin  username

Lisätietoja su-, sudo- ja sudoersista on heidän man-sivuillaan:

man su
man sudo
man sudoers