Hvernig á að slökkva á „su“ aðgangi fyrir Sudo notendur


Su skipunin er sérstök Linux skipun sem gerir þér kleift að keyra skipun sem annar notandi og hópur. Það gerir þér einnig kleift að skipta yfir í rótarreikninginn (ef hann er keyrður án nokkurra röka) eða annan tilgreindan notandareikning.

Allir notendur hafa sjálfgefið aðgang að su skipuninni. En sem kerfisstjóri geturðu slökkt á su aðgangi fyrir notanda eða hóp notenda með því að nota sudoers skrána eins og útskýrt er hér að neðan.

Sudoers skráin rekur sudo öryggisstefnuviðbótina sem ákvarðar sudo réttindi notanda. Sudo skipunin gerir notendum kleift að keyra forrit með öryggisréttindi annars notanda (sjálfgefið sem rótnotandinn).

Til að skipta yfir í annan notandareikning getur notandi keyrt su skipunina frá núverandi innskráningarlotu eins og sýnt er. Í þessu dæmi er notandinn aaronk að skipta yfir í prófnotandareikning. Notandinn aaronk verður beðinn um að slá inn lykilorðið fyrir prófunarreikninginn:

$ su testuser

Til að skipta yfir í rótarreikninginn verður notandi að hafa rótarlykilorðið eða hafa réttindi til að kalla fram sudo skipunina. Með öðrum orðum, notandinn verður að vera til í sudoers skránni. Í þessu dæmi er notandinn aaronk (sudo notandi) að skipta yfir í rótarreikninginn.

Eftir að hafa kallað fram sudo er notandinn aaronk beðinn um að slá inn lykilorðið sitt, ef það er gilt fær notandinn aðgang að gagnvirkri skel sem rót:

$ sudo su

Slökktu á su aðgangi fyrir Sudo notanda

Til að slökkva á su aðgangi fyrir sudo notanda, til dæmis aaronk notandann hér að ofan, skaltu fyrst taka öryggisafrit af upprunalegu sudoers skránni sem staðsett er á /etc/sudoers sem hér segir:

$ sudo cp /etc/sudoers /etc/sudoers.bak

Opnaðu síðan sudoers skrána með eftirfarandi skipun. Athugaðu að ekki er mælt með því að breyta sudoers skránni með höndunum, notaðu alltaf visudo skipunina:

 
$ sudo visudo

Undir hlutanum yfir samnefni skipana skaltu búa til eftirfarandi samnefni:

Cmnd_Alias DISABLE_SU = /bin/su

Bættu síðan við eftirfarandi línu í lok skrárinnar, skiptu notandanafninu aaronk út fyrir notandann sem þú vilt slökkva á su aðgangi fyrir:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Vistaðu skrána og lokaðu henni.

Prófaðu síðan til að staðfesta að uppsetningin virki sem hér segir. Kerfið ætti að skila villuboðum eins og þessum: Því miður, notandi aaronk er ekki leyft að keyra '/bin/su' sem rót á tecmint.

$ sudo su

Slökktu á su aðgangi fyrir hóp Sudo notenda

Þú getur líka slökkt á su aðgangi fyrir hóp sudo notenda. Til dæmis til að slökkva á su aðgangi fyrir alla notendur í hópstjóranum, breyttu línunni:

%admin ALL=(ALL) ALL

til þessa:

%admin ALL=(ALL) ALL, !DISABLE_SU

Vistaðu skrána og lokaðu henni.

Til að bæta notanda við stjórnandahópinn skaltu keyra usermod skipunina (skipta um notandanafn fyrir raunverulegan notanda):

$ sudo usermod -aG  admin  username

Fyrir frekari upplýsingar um su, sudo og sudoers, skoðaðu mannasíður þeirra:

$ man su
$ man sudo
$ man sudoers