บรรจวบ เข้าสู่ระบบ
Score:2
bluesquare avatar Ubuntu

คุณจะปิดการใช้งาน su ได้อย่างไร?

ธง ph
bluesquare

ฉันสับสนเกี่ยวกับ su เล็กน้อย ฉันแค่ต้องการป้องกันไม่ให้ผู้ใช้ใช้ su ทั่วกระดาน ผู้ใช้ที่ได้รับอนุญาตจะมีสิทธิ์เข้าถึง sudo ดังนั้นพวกเขาสามารถรูทได้หากต้องการ เราแค่ต้องการปิดการใช้งาน su อย่างสมบูรณ์ไม่ว่าในกรณีใด ๆ

แหล่งที่มานี้ให้คุณไม่แสดงความคิดเห็นและแทนที่ จำเป็นต้องมีการตรวจสอบสิทธิ์ pam_wheel.so กับ การตรวจสอบสิทธิ์ต้องการ pam_wheel.so use_uid จาก /etc/pam.d/su https://securitronlinux.com/bejiitaswrath/how-to-disable-the-su-to-root-in-linux-using-pam/ แต่ทางเพจแจ้งว่า

สิ่งนี้จะต้องให้ผู้ใช้เข้าสู่ระบบในฐานะรูทที่เทอร์มินัลจึงจะทำได้ ใช้พรอมต์รูท

ดังนั้นฉันจึงกังวลว่าจะทำให้ผู้ใช้ใช้งานไม่ได้ sudo -s

นอกจากนี้ เราไม่ต้องการให้ผู้ใช้สามารถหลบหนีไปยังรูทแล้ว su เข้าสู่บัญชีของกันและกัน ฉันเห็นใน /etc/pam.d/su

# สิ่งนี้ทำให้รูทสามารถ su ได้โดยไม่ต้องใช้รหัสผ่าน (การทำงานปกติ)
รับรองความถูกต้องเพียงพอ pam_rootok.so

ฉันแสดงความคิดเห็นในบรรทัดนี้ปลอดภัยหรือไม่ การเสร็จสิ้นนั้นจะบรรลุวัตถุประสงค์ของฉันโดยไม่ปิดกั้นพวกเราทั้งหมดหรือไม่?

193
0 + 0
Nmath avatar
ng flag
Nmath
1) Ubuntu ไม่มีบัญชีรูท ดังนั้นคุณจึงไม่สามารถเข้าสู่ระบบในฐานะรูทได้ 2) ผู้ใช้ที่มีสิทธิ์ sudo สามารถทำอะไรก็ได้ที่ต้องการ รวมถึงอ่าน/เขียน/ดำเนินการกับบัญชีผู้ใช้อื่น
1
ตอบกลับ
mook765 avatar
cn flag
mook765
ฉันไม่เข้าใจว่าทำไมคุณถึงกังวลเกี่ยวกับ `su` หากมีคนใช้ `su` เขาจะต้องป้อนรหัสผ่านของผู้ใช้ที่ต้องการเปลี่ยนไปใช้ ถ้าเขาไม่รู้รหัสผ่านนี้ เขาจะไม่สามารถเปลี่ยนไปใช้ผู้ใช้คนนั้นได้
1
ตอบกลับ
bluesquare avatar
ph flag
bluesquare
@Nmath ไม่มีบัญชีรูท? ฉันควรเรียกสิ่งนี้ว่าอย่างไร root@MRHOSTMAN:~# รหัส uid=0(รูท) gid=0(รูท) กลุ่ม=0(รูท)
0
ตอบกลับ
bluesquare avatar
ph flag
bluesquare
@mook765 สวัสดี ไม่ต้องใช้รหัสผ่านในการทำเช่นนี้: root@MRHOSTMAN:~# su otherguy otherguy@MRHOSTMAN:/home/firstguy$
0
ตอบกลับ
mook765 avatar
cn flag
mook765
เมื่อคุณรูทแล้วคุณสามารถทำได้ ไม่ใช่เมื่อคุณเป็นผู้ใช้ทั่วไป
0
ตอบกลับ
Score:1
pasman pasmański avatar Ubuntu
ธง mx
pasman pasmański

ใน Ubuntu ใช้โมเดลความปลอดภัย:

  1. คุณไม่สามารถเข้าสู่ระบบเป็น ราก - บัญชีถูกบล็อกรหัสผ่าน
  2. ผู้ใช้สามารถได้รับ ราก สิทธิ์เฉพาะทาง ซูโด. พวกเขาจะต้องอยู่ใน ซูโด หรือ ผู้ดูแลระบบ กลุ่มหรือโดยตรงใน ซูโด ไฟล์คอนฟิก

ดังนั้นหากคุณต้องการให้ผู้ใช้ไม่สามารถใช้ su ได้ ให้ลบออก ซูโด และ ผู้ดูแลระบบ กลุ่ม หากพวกเขาสามารถทำงานด้านการดูแลระบบได้ ให้เพิ่มพวกเขาลงในกลุ่ม ผู้ดูแลระบบของฉัน และกำหนดค่าสิทธิ์ของกลุ่ม ผู้ดูแลระบบของฉัน ใน ซูโดเออร์ ไฟล์คอนฟิก

0 + 0
ru flag
Thomas Ward
การดำเนินการนี้ไม่ได้ปิดการใช้งานคำสั่ง `su` คำสั่งนั้นจะยังคงใช้งานได้ แต่ถ้าผู้ใช้ไม่ทราบรหัสผ่านสำหรับผู้ใช้รายอื่น ก็จะไม่สามารถช่วยเหลือได้ เพียงเพื่อความชัดเจน เพราะการลบกลุ่ม `sudo` หรือ `admin` จะไม่ทำให้ `su` ยังคงทำหน้าที่ของมันอยู่ - พวกเขาไม่สามารถลงชื่อเข้าใช้บัญชีใด ๆ ได้หากมี PW ที่ถูกล็อคหรือหากพวกเขาไม่รู้จัก PW สำหรับ บัญชีที่พวกเขากำลังพยายาม
1
ตอบกลับ
pasman pasmański avatar
mx flag
pasman pasmański
`Su` ไม่ได้ถูกปิดใช้งาน เนื่องจากคุณอาจเรียกใช้คำสั่งที่ทำงานคล้ายกัน: `sudo sh` , `sudo bash` ฯลฯ ผู้ใช้ในกลุ่ม `sudo` สามารถทำได้ทุกอย่าง รวมถึงการซ่อมแซมบัญชีที่ถูกล็อก ผู้ใช้ในกลุ่ม 'myadmin` อาจมีการอนุญาตที่กำหนดไว้อย่างเข้มงวด ผู้ใช้รายอื่นมีสิทธิ์มาตรฐาน
0
ตอบกลับ
ru flag
Thomas Ward
ยกเว้นว่าคุณกำลังพูดถึงสองสิ่งที่แตกต่างกันอย่างสิ้นเชิง OP ขอวิธี **ปิดการใช้งาน `su`** ไม่ใช่ปิดใช้งานการเข้าสู่ระบบ sudo/admin แม้ว่าบางคนไม่มี sudo perms พวกเขาก็ยังสามารถใช้ `su` เพื่อเข้าสู่ระบบผู้ใช้รายอื่นในระบบได้
1
ตอบกลับ
pasman pasmański avatar
mx flag
pasman pasmański
การปิดใช้งาน `su` นั้นไม่มีเหตุผล หากผู้ใช้บางคนสามารถใช้ `su otheruser` ได้เพราะเขารู้รหัสผ่านของผู้ใช้อื่น เขาอาจออกจากระบบและเข้าสู่ระบบในฐานะผู้ใช้อื่น
1
ตอบกลับ
bluesquare avatar
ph flag
bluesquare
@pasmanpasmaÅski ฉันสับสน ฉันสามารถเข้าสู่ระบบในฐานะรูท... sudo -s แล้วฉันรูท คุณหมายความว่าคุณไม่สามารถเข้าสู่ระบบในฐานะรูทได้อย่างไร นอกจากนี้ ตอนนี้ฉันสามารถ su root และฉันคิดว่าฉันเข้าสู่ระบบในฐานะ root (uid =0)
0
ตอบกลับ
Nmath avatar
ng flag
Nmath
โปรดตรวจสอบ: https://askubuntu.com/q/687249
0
ตอบกลับ
Nmath avatar
ng flag
Nmath
จากการใช้ถ้อยคำของคำถามและความคิดเห็น ดูเหมือนว่า OP กำลังรวม `su` กับ `sudo` หรือการเข้าสู่ระบบรูทหรือบางทีอาจเป็น `sudo su` - หาก OP ต้องการปิดใช้งานเฉพาะการใช้ `su` จริง ๆ ฉัน ตกลงว่ามันจะไม่มีประโยชน์ - 1) เพราะคุณต้องการรหัสผ่านของผู้ใช้เพื่อใช้งาน และ 2) หากคุณมีรหัสผ่านผู้ใช้ คุณก็สามารถเข้าสู่ระบบในฐานะผู้ใช้นั้นได้อยู่ดี ทำให้การปิดใช้งาน `su` ไร้ผลโดยสิ้นเชิง
0
ตอบกลับ
pasman pasmański avatar
mx flag
pasman pasmański
@Lojitech `sudo -s` ใช้งานได้ เพราะคุณอยู่ในกลุ่ม `sudo` หากคุณสร้างผู้ใช้ใหม่ เขาจะทำ `sudo -s` ไม่ได้
0
ตอบกลับ
bluesquare avatar
ph flag
bluesquare
@pasmanpasmaÅski ตกลง แต่อย่างที่ฉันพูด ผู้ใช้ที่ได้รับอนุญาตจะมีสิทธิ์เข้าถึง sudo ดังนั้นฉันจึงหวังว่าจะทราบว่าฉันสามารถปิดใช้งาน su แบบที่ฉันกล่าวถึงในโพสต์ของฉันได้อย่างปลอดภัยหรือไม่
0
ตอบกลับ
Score:0
bluesquare avatar Ubuntu
ธง ph
bluesquare

ขอบคุณ @pasmanpasmaÅski และผู้แสดงความคิดเห็นและผู้ตอบคำถามทุกคนที่ปรับปรุงความเข้าใจของฉันเกี่ยวกับ Ubuntu

หากต้องการปิดใช้งาน su บน Ubuntu (และ redhat distros บางตัวด้วย) ให้ทำดังนี้:

แก้ไข /etc/pam.d/su

แสดงความคิดเห็น จำเป็นต้องมีการตรวจสอบสิทธิ์ pam_wheel.so และเพิ่ม การตรวจสอบสิทธิ์ต้องการ pam_wheel.so use_uid ด้านล่าง.

และแสดงความคิดเห็น รับรองความถูกต้องเพียงพอ pam_rootok.so

(ตาม securitronlinux.com)

จากนั้นคุณสามารถคาดหวัง: ไม่มีใครรวมถึงรูทสามารถ su!

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา