hallo,
Ich hab nen Server mit mehreren Benutzerkonten drauf und möchte nun "einem" davon die Erlaubnis geben sich mit su anzumelden.
Ich möchte auch dass dieser Benutzer das Programm journalctl benutzen kann, ohne sich vorher als root anzumelden.
Die andernen Benutzer sollen sich nicht mit su anmelden können!
Ich weiß sowas geht wunderherlich mit /etc/sudoers.
Hat sudo Einfluss auf su, oder können sich die Leute dann immernoch root-Rechte verschaffen ?
Edit: Hab den Titel vom Thema angepasst
root-Rechte via /etc/pam.d/su anpassen ?
root-Rechte via /etc/pam.d/su anpassen ?
Zuletzt geändert von suleiman am 29.12.2016 23:15:09, insgesamt 1-mal geändert.
-
towo
- Beiträge: 4569
- Registriert: 27.02.2007 19:49:44
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: root-Rechte einstellen ?
Mit su kann nur root werden, wer das Root-Kennwort hat, ergo muß man da nix einstellen.
Und sudo hat mit su erstmal gar nix zu tun.
Btw, journalctrl braucht keine root-Rechte, wenn man den User in die entsprechende Gruppe packt.
Und sudo hat mit su erstmal gar nix zu tun.
Btw, journalctrl braucht keine root-Rechte, wenn man den User in die entsprechende Gruppe packt.
Re: root-Rechte einstellen ?
Für die Frage nach dem journalctl braucht man nicht mal die 'man journalctl' zu lesen, denn
Also ein
und der oder die 'user' sind glücklich 
Code: Alles auswählen
$ journalctl
Hint: You are currently not seeing messages from other users and the system.
Users in groups 'adm', 'systemd-journal' can see all messages.
Pass -q to turn off this notice.
<snip>
Code: Alles auswählen
# adduser user systemd-journal
Adding user `user' to group `systemd-journal' ...
Adding user user to group systemd-journal
Done.
Re: root-Rechte einstellen ?
Danke für den Hinweis mit den Gruppen adm und journalctl, hatte ich total übersehen.
Ich bin auf die Datei /etc/pam.d/su gestoßen, die scheint zu machen was ich mir vorstelle...
Ich wunder mich nur dass keine Benutzer namens wheel bzw foo eingerichtet worden sind.
Die Gruppe nosu gibt es auch nicht, soll ich die jetz einfach erstellen ?
Wenn ich man pam.d aufrufe finde ich nix passendes zum Thema.
Gibt es Anleitungen für mein Vorhaben ?
Oder langt es die Gruppe nosu zu erstellen und Benutzer da hinzu zu fügen?
Ist es sicher mit zwei Konsolen an PAM rum zu probieren ?...
Konkret: einmal eingeloggt bleiben zur Sicherheit. Mit der zweiten Shell testen ob Logins via "su" funktionieren, wenn man an /etc/pam.d/su rum gespielt hat ?
Nachtrag:
Mein Ziel ist es dass man sich auf meinem Server nur via ssh anmelden kann, bzw ich will noch ein paar Sachen einrichten, aber das soll erstmal egal sein.
Die Leute die sich mit ssh am Server anmelden können sollen garnicht erst in Versuchung kommen su zu nutzen.
Somit kann ich die Leute ausschließen die das Passwort vom Server kennen.
Ich bin auf die Datei /etc/pam.d/su gestoßen, die scheint zu machen was ich mir vorstelle...
Code: Alles auswählen
#
# The PAM configuration file for the Shadow `su' service
#
...
# Uncomment this if you want members of a specific group to not
# be allowed to use su at all.
# auth required pam_wheel.so deny group=nosu
...
Die Gruppe nosu gibt es auch nicht, soll ich die jetz einfach erstellen ?
Wenn ich man pam.d aufrufe finde ich nix passendes zum Thema.
Gibt es Anleitungen für mein Vorhaben ?
Oder langt es die Gruppe nosu zu erstellen und Benutzer da hinzu zu fügen?
Ist es sicher mit zwei Konsolen an PAM rum zu probieren ?...
Konkret: einmal eingeloggt bleiben zur Sicherheit. Mit der zweiten Shell testen ob Logins via "su" funktionieren, wenn man an /etc/pam.d/su rum gespielt hat ?
Nachtrag:
Mein Ziel ist es dass man sich auf meinem Server nur via ssh anmelden kann, bzw ich will noch ein paar Sachen einrichten, aber das soll erstmal egal sein.
Die Leute die sich mit ssh am Server anmelden können sollen garnicht erst in Versuchung kommen su zu nutzen.
Somit kann ich die Leute ausschließen die das Passwort vom Server kennen.