Comment désactiver l'accès «su» pour les utilisateurs sudo
- 1531
- 448
- Victor Charpentier
La commande su est une commande linux spéciale qui vous permet d'exécuter une commande en tant qu'un autre utilisateur et groupe. Il vous permet également de passer au compte racine (s'il est exécuté sans arguments) ou un autre compte utilisateur spécifié.
Tous les utilisateurs par défaut sont autorisés à accéder au su commande. Mais en tant qu'administrateur système, vous pouvez désactiver l'accès SU pour un utilisateur ou un groupe d'utilisateurs, en utilisant le Sudo fichier comme expliqué ci-dessous.
Le fichier sudoers pilote le Sudo Plugin de stratégie de sécurité qui détermine les privilèges sudo d'un utilisateur. Le commande sudo permet aux utilisateurs d'exécuter des programmes avec les privilèges de sécurité d'un autre utilisateur (par défaut, en tant qu'utilisateur racine).
Pour passer à un autre compte d'utilisateur, un utilisateur peut exécuter le su commande de leur session de connexion actuelle comme indiqué. Dans cet exemple, l'utilisateur aaronk passe à un testeur compte. L'utilisateur aaronk sera invité à saisir le mot de passe du compte TesUser:
$ su TesUserPassez à différents utilisateurs
Pour passer au compte racine, un utilisateur doit avoir le mot de passe racine ou avoir des privilèges pour invoquer la commande sudo. En d'autres termes, l'utilisateur doit exister dans le fichier sudoers. Dans cet exemple, l'utilisateur aaronk (un utilisateur sudo) passe au compte racine.
Après invoquer Sudo, l'utilisateur aaronk est invité à saisir son mot de passe, s'il est valide, l'utilisateur a accès à un shell interactif comme root:
$ sudo suPassez à l'utilisateur root
Désactiver l'accès SU à un utilisateur sudo
Désactiver su accès pour un utilisateur sudo par exemple le aaronk L'utilisateur ci-dessus, tout d'abord, sauvegarde le fichier sudoers d'origine situé à / etc / sudoers comme suit:
$ sudo cp / etc / sudoers / etc / sudoers.bak
Puis ouvrez le fichier sudoers en utilisant la commande suivante. Notez qu'il n'est pas recommandé de modifier le fichier sudoers à la main, utilisez toujours le visudo commande:
$ sudo visudo
Sous la section de commandement alias, Créez les alias suivants:
Cmnd_alias disable_su = / bin / su
Ensuite, ajoutez la ligne suivante à la fin du fichier, remplacez le nom d'utilisateur aaronk avec l'utilisateur, vous souhaitez désactiver su Accès pour:
aaronk all = (tout) nopasswd: tout, !Disable_Su
Enregistrez le fichier et fermez-le.
Puis testez pour vérifier que la configuration fonctionne comme suit. Le système doit renvoyer un message d'erreur comme celui-ci: «Désolé, l'utilisateur Aaronk n'est pas autorisé à exécuter '/ bin / su' comme racine sur Tecmint.".
$ sudo suDésactiver l'accès SU à l'utilisateur sudo
Désactiver l'accès SU à un groupe d'utilisateurs sudo
Vous pouvez également désactiver su Accès à un groupe d'utilisateurs sudo. Par exemple pour désactiver su accès pour tous les utilisateurs du groupe administrer, Modifiez la ligne:
% admin tout = (tous) tout
pour ça:
% admin tout = (tous) tout, !Disable_Su
Enregistrez le fichier et fermez-le.
Pour ajouter un utilisateur au administrer groupe, exécutez la commande usermod (remplacez le nom d'utilisateur par l'utilisateur réel):
$ sudo usermod -Ag Admin Username
Pour plus d'informations sur le su, Sudo et Sudo, Vérifiez leurs pages d'homme:
$ man su $ man sudo $ man sudoers
- « Meilleures distributions Linux légères pour les ordinateurs plus anciens
- Comment installer WordPress sur Rhel 8 avec Nginx »