■ /linux/FedoraCore3/ 特定のユーザのみ su コマンドを許可

　初期状態では「誰でも」su コマンドの実行が可能です。
　PAM の機能を使って、特定のグループ “wheel”(ホイール) に所属するユーザのみ su (Switch User ＝スイッチ・ユーザー）コマンドの実行を許可されることが出来ます。

　　まず【 vi /etc/group 】でグループ管理用のファイルを開きます。

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root,user1,user2,user3

　wheel グループのみ su が許可されるので、許可したいユーザーを「,」区切りで記述しておきます。

　実際の設定対象ファイルは /etc/pam.d/su です。
　６行目の【 # 】を削除します。

#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient   /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth       required     /lib/security/$ISA/pam_wheel.so use_uid
auth       required     /lib/security/$ISA/pam_stack.so service=system-auth
account    required     /lib/security/$ISA/pam_stack.so service=system-auth
password   required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session    required     /lib/security/$ISA/pam_selinux.so close
session    required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session    required     /lib/security/$ISA/pam_selinux.so open multiple
session    optional     /lib/security/$ISA/pam_xauth.so

許可されていないアカウントから su を実行しようとしても

[zem2@sion ~]$ su -
Password:
su: パスワードが違います

　このようにパスワードが違うと蹴られます。

　ちなみに、４行目のみコメントを外した状態にすると、パスワード入力が一切不要になります。

#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth       sufficient   /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required     /lib/security/$ISA/pam_wheel.so use_uid
auth       required     /lib/security/$ISA/pam_stack.so service=system-auth
account    required     /lib/security/$ISA/pam_stack.so service=system-auth
password   required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session    required     /lib/security/$ISA/pam_selinux.so close
session    required     /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session    required     /lib/security/$ISA/pam_selinux.so open multiple
session    optional     /lib/security/$ISA/pam_xauth.so

[分類 /linux/FedoraCore3 ] 固定リンク

書込記録 - Calendar -

お品書き[ BLOG ] - Weblog -

Logbook (290)
- アニメーション (2)
- [ANT]アントクアリウム (30)
  - L1 (4)
  - ブルー (5)
  - 初代ブルー (7)
  - レッド (5)
  - ホワイト (6)
- 本 (2)
  - コミック (1)
  - 一般 (1)
- ゲーム (2)
- ICQ (6)
- インターネット関連 (6)
- Linux (28)
  - Fedora Core 3のメモ (25)
  - FedoraCore4 (1)
- 携帯ライブログ (52)
  - 2005年(平成17年) (21)
  - 2006年(平成18年) (31)
- 日々の記録・雑感 (110)
  - 1999年(平成11年) (11)
  - 2000年(平成12年) (14)
  - 2001年(平成13年) (11)
  - 2002年(平成14年) (14)
  - 2003年(平成15年) (14)
  - 2004年(平成16年) (44)
  - 2005年(平成17年) (2)
- 意見・随筆 (12)
- [PLANT]プランタリウム (24)
  - バジル (9)
  - チリペッパー (2)
  - レモンパーム (1)
  - マリーゴールド (6)
  - イタリアンパセリ (3)
- 科学技術 (2)
- ソフトウェア (1)
- WEBLOG (3)
  - 2004年(平成16年) (3)
- サイト新着情報 (10)
  - 過去の記録 (4)

過去ログ書庫 - Archives -