Puncte:2

Ubuntu

Cum dezactivezi su?

bluesquare

30.03.2023, 18:09

Sunt puțin confuz cu privire la su. Vreau doar să împiedic utilizatorii să folosească su peste tot. Utilizatorii autorizați vor avea acces sudo, astfel încât să poată fi root dacă doresc. Vrem doar să dezactivăm complet su în orice caz.

Această sursă vă face să decomentați și să înlocuiți auth required pam_wheel.so cu auth required pam_wheel.so use_uid din /etc/pam.d/su https://securitronlinux.com/bejiitaswrath/how-to-disable-the-su-to-root-in-linux-using-pam/ dar pe pagina scrie

Acest lucru va necesita ca un utilizator să se autentifice ca root la un terminal pentru a putea utilizați un prompt de rădăcină.

deci sunt îngrijorat că va împiedica utilizatorii să utilizeze sudo -s

De asemenea, nu dorim ca utilizatorii să poată scăpa la root și apoi su în conturile celuilalt. văd în /etc/pam.d/su

# Acest lucru permite root-ului să su fără parole (funcționare normală)
auth suficient pam_rootok.so

Este sigur pentru mine să comentez această linie? Va termina asta cu atingerea obiectivului meu fără a ne bloca pe toți?

193

0 + 0

conturi

fax

Nmath

30.03.2023, 19:29

1) Ubuntu nu are un cont root, așa că nu vă puteți autentifica ca root; 2) Orice utilizator cu privilegii sudo poate face orice dorește, inclusiv citirea/scrierea/executarea în conturile altor utilizatori

Răspunde

mook765

30.03.2023, 19:41

Nu înțeleg de ce îți faci griji pentru `su`. Dacă cineva folosește `su`, va trebui să introducă parola utilizatorului la care dorește să comute, dacă nu cunoaște această parolă, nu va putea comuta la acel utilizator.

Răspunde

bluesquare

30.03.2023, 21:37

@Nmath Nu există niciun cont root? Cum ar trebui să numesc asta? root@MRHOSTMAN:~# id uid=0(rădăcină) gid=0(rădăcină) grupuri=0(rădăcină)

Răspunde

bluesquare

30.03.2023, 21:39

@mook765 Bună, nu era necesară o parolă pentru a face asta: root@MRHOSTMAN:~# su otherguy otherguy@MRHOSTMAN:/home/firstguy$

Răspunde

mook765

30.03.2023, 22:11

Numai când ești root o poți face, nu când ești un utilizator obișnuit.

Răspunde

Puncte:1

Ubuntu

pasman pasmański

30.03.2023, 19:31

În Ubuntu este folosit modelul de securitate:

Nu vă puteți autentifica ca rădăcină - contul are o parolă blocată.
Utilizatorii pot câștiga rădăcină permisiuni numai prin sudo. Pentru a face asta trebuie să fie în sudo sau admin grup sau direct în sudo fișiere de configurare.

Deci, dacă doriți ca utilizatorii să nu poată folosi su, eliminați-le din sudo și admin grupuri. Dacă pot face unele sarcini de administrare, atunci mai bine le adaugă la grup myadminis și configurați permisiunile grupului myadminis în sudoeri fișier de configurare.

0 + 0

Thomas Ward

30.03.2023, 20:02

Acest lucru nu dezactivează utilizarea comenzii `su` - acea comandă va funcționa în continuare, dar dacă nu cunosc parola pentru alți utilizatori, nu îi va ajuta. Doar pentru clarificare, deoarece eliminarea grupului `sudo` sau `admin` nu va opri `su` să-și facă în continuare funcțiile - pur și simplu nu se pot conecta la niciun cont dacă există PW-uri blocate sau dacă nu cunosc PW-urile pentru conturi pe care le încearcă

Răspunde

pasman pasmański

30.03.2023, 20:14

`Su` nu este dezactivat, deoarece puteți rula comenzi care funcționează similar: `sudo sh`, `sudo bash` etc. Utilizatorii din grupul `sudo` pot orice, inclusiv repararea conturilor blocate. Utilizatorii din grupul „myadmin” pot avea permisiuni strict definite. Alți utilizatori au permisiuni standard.

Răspunde

Thomas Ward

30.03.2023, 20:22

Doar că acum vorbești despre două lucruri complet diferite. OP întreabă cum să **dezactivează `su`**, nu dezactivează autentificarea sudo/admin. Chiar dacă cineva nu are permisiuni sudo, totuși poate folosi `su` pentru a se autentifica la alți utilizatori din sistem.

Răspunde

pasman pasmański

30.03.2023, 20:32

Dezactivarea `su` nu are sens. Dacă un utilizator poate folosi „su otheruser” pentru că știe parola altui utilizator, atunci se poate deconecta și se poate conecta ca alt utilizator.

Răspunde

bluesquare

30.03.2023, 22:55

@pasmanpasmaÅski Sunt confuz. Mă pot autentifica ca root... sudo -s și apoi sunt root. Cum adică nu te poți autentifica ca root? De asemenea, în prezent pot să folosesc root și am crezut că m-am autentificat ca root (uid = 0)

Răspunde

Nmath

30.03.2023, 22:59

Vă rugăm să consultați: https://askubuntu.com/q/687249

Răspunde

Nmath

30.03.2023, 23:10

Pe baza formulării întrebării și a comentariilor, se pare că OP combină `su` cu `sudo` sau login root sau poate `sudo su` - Dacă OP dorește de fapt să dezactiveze doar utilizarea lui `su`, eu sunteți de acord că ar fi inutil - 1) pentru că aveți nevoie de parola unui utilizator pentru a o utiliza și 2) dacă aveți parola de utilizator, vă puteți conecta oricum ca acel utilizator, făcând dezactivarea `su` complet ineficientă

Răspunde

pasman pasmański

01.04.2023, 06:00

@Lojitech `sudo -s` funcționează, deoarece sunteți în grupul `sudo`. dacă creați un utilizator nou, el nu poate face `sudo -s`

Răspunde

bluesquare

01.04.2023, 14:16

@pasmanpasmaÅski OK, dar așa cum am spus, utilizatorii autorizați vor avea acces sudo. Așa că speram să aflu dacă pot dezactiva su așa cum am menționat în postarea mea, în siguranță

Răspunde

Puncte:0

Ubuntu

bluesquare

01.04.2023, 16:56

Mulțumesc lui @pasmanpasmaÅski și tuturor celor care au comentat și au răspuns la întrebări care mi-au îmbunătățit cu adevărat înțelegerea Ubuntu.

Pentru a dezactiva su pe Ubuntu (și unele distribuții redhat de fapt), faceți exact acest lucru:

Editați | × /etc/pam.d/su

Comentează auth required pam_wheel.so si adauga auth required pam_wheel.so use_uid de mai jos.

și comentați auth suficient pam_rootok.so

(conform securitronlinux.com)

Atunci te poți aștepta la: Nimeni, inclusiv root poate su!

0 + 0