[solved] su - nur wheel Gruppe soll su'en dürfen, tut nicht

Neo_0815 · Beitrag von **Neo_0815** » 21.01.2005 12:47:13

Ich habe die /etc/pam.d/su Konfiguration angepasst und folgende Zeilt eingefügt:

auth required pam_wheel.so group=wheel

Trotzdem dürfen Nutzer, die nicht in der Gruppe wheel sind su noch nutzen, um zum Beispiel den Nutzer zu ändern,

also "su foobar" geht immer noch ?

Zusätzlich habe ich noch folg. Zeile:

auth required pam_wheel.so deny group=nosu

Dazu habe ich eine Gruppe nosu und habe dort explizit den Nutzer "barfoo" aufgenommen, wenn nun Nutzer "barfoo" ein "su foobar" macht funktioniert das auch noch ... was mach ich hier falsch ?

MfG

gms · Beitrag von **gms** » 21.01.2005 14:47:42

Neo_0815 hat geschrieben: also "su foobar" geht immer noch ?

ich habe sudo bisher nur von knoppix kennengelernt, so wie ich das aber verstanden habe, können die user jetzt kein

Code: Alles auswählen

sudo su foobar

mehr ausführen

Neo_0815 · Beitrag von **Neo_0815** » 21.01.2005 23:44:00

Es geht mir nicht um sudo, sondern um su. Das mit sudo regelt man mit "visudo" .

MfG

nobbi · Beitrag von **nobbi** » 01.02.2005 09:05:33

warum änderst Du nicht einfach die Berechtigung des "su" Binarys?

Code: Alles auswählen

chgrp wheel su
chmod o-x /bin/su

dürfte doch für Deine Zwecke das einfachste sein....

gms · Beitrag von **gms** » 01.02.2005 09:21:25

nobbi hat geschrieben:warum änderst Du nicht einfach die Berechtigung des "su" Binarys?
dürfte doch für Deine Zwecke das einfachste sein....

dürfte auch das einzig sinnvolle sein.

[edit]

Code: Alles auswählen

This module is used to enforce the so-called wheel group.  By
default, it permits root access to the system if the applicant user is
a member of the wheel group (first, the module checks for the
existence of a wheel group. Otherwise the module defines the
group with group-id 0 to be the wheel group).

Dieses Modul erfüllt einfach einen anderen Zweck, es kann nur den "root access" erlauben/sperren aber kein "su foobar"
[/edit]

Beitrag von **KBDCALLS** » 01.02.2005 11:36:34

Wenn das in /etc/pam.d/su

Code: Alles auswählen

auth       sufficient pam_wheel.so trust group=adm

und den User der Gruppe adm noch spendiert , kann man su ohne passwort nutzen. Aber ob das sinvoll ist?

Neo_0815 · Beitrag von **Neo_0815** » 11.07.2006 12:24:21

Code: Alles auswählen

     16 # Uncomment this if you want members of a specific group to not
     17 # be allowed to use su at all.
     18 # auth       required   pam_wheel.so deny group=nosu

Problem besteht immer noch: User in der Gruppe nosu dürfen immer noch su nutzen - was versteh ich bitte an diesem Satz falsch ...

Lösung

Dank Gentoo - die eine bessere su Vorlage haben hab ich ne Lösung.

Code: Alles auswählen

     23 # If you want to restrict users begin allowed to su even more,
     24 # create /etc/security/suauth.allow (or to that matter) that is only
     25 # writable by root, and add users that are allowed to su to that
     26 # file, one per line.
     27 auth       required     pam_listfile.so item=ruser sense=allow onerr=fail file=/etc/security/suauth.allow

Gruß

debianforum.de

[solved] su - nur wheel Gruppe soll su'en dürfen, tut nicht

[solved] su - nur wheel Gruppe soll su'en dürfen, tut nicht

Re: su - nur wheel Gruppe soll su'en dürfen, tut nicht