Tham gia Đăng nhập
Điểm:2
bluesquare avatar Ubuntu

Làm thế nào để bạn vô hiệu hóa su?

lá cờ ph
bluesquare

Tôi bối rối về su một chút. Tôi chỉ muốn ngăn người dùng sử dụng su trên bảng. Người dùng được ủy quyền sẽ có quyền truy cập sudo để họ có thể root nếu muốn. Chúng tôi chỉ muốn tắt hoàn toàn su trong mọi trường hợp.

Nguồn này có bạn bỏ ghi chú và thay thế yêu cầu xác thực pam_wheel.so với yêu cầu xác thực pam_wheel.so use_uid từ /etc/pam.d/su https://securitronlinux.com/bejiitaswrath/how-to-disable-the-su-to-root-in-linux-using-pam/ nhưng trang nói

Điều này sẽ yêu cầu người dùng đăng nhập với quyền root tại một thiết bị đầu cuối để có thể sử dụng dấu nhắc gốc.

vì vậy tôi lo ngại nó sẽ ngăn người dùng sử dụng sudo -s

Ngoài ra, chúng tôi không muốn người dùng có thể thoát khỏi quyền root và sau đó truy cập vào tài khoản của nhau. tôi thấy trong /etc/pam.d/su

# Điều này cho phép root to su mà không cần mật khẩu (hoạt động bình thường)
xác thực đủ pam_rootok.so

Có an toàn cho tôi để bình luận dòng này? Liệu điều đó có hoàn thành việc đạt được mục tiêu của tôi mà không khóa tất cả chúng ta không?

193
0 + 0
su
Nmath avatar
lá cờ ng
Nmath
1) Ubuntu không có tài khoản root nên bạn không thể đăng nhập với quyền root; 2) Bất kỳ người dùng nào có đặc quyền sudo đều có thể làm bất cứ điều gì họ muốn, bao gồm đọc/ghi/thực thi tài khoản của người dùng khác
1
Hồi đáp
mook765 avatar
lá cờ cn
mook765
Tôi không hiểu tại sao bạn lo lắng về `su`. Nếu ai đó sử dụng `su`, anh ta sẽ cần nhập mật khẩu của người dùng mà anh ta muốn chuyển sang, nếu anh ta không biết mật khẩu này, anh ta sẽ không thể chuyển sang người dùng đó.
1
Hồi đáp
bluesquare avatar
lá cờ ph
bluesquare
@Nmath Không có tài khoản root? Làm thế nào tôi nên gọi đây là? root@MRHOSTMAN:~# id uid=0(root) gid=0(root) nhóm=0(root)
0
Hồi đáp
bluesquare avatar
lá cờ ph
bluesquare
@mook765 Xin chào, không cần mật khẩu để làm điều này: root@MRHOSTMAN:~# su otherguy otherguy@MRHOSTMAN:/home/firstguy$
0
Hồi đáp
mook765 avatar
lá cờ cn
mook765
Chỉ khi bạn đã root thì mới làm được, không phải khi bạn là người dùng bình thường.
0
Hồi đáp
Điểm:1
pasman pasmański avatar Ubuntu
lá cờ mx
pasman pasmański

Trong Ubuntu được sử dụng mô hình bảo mật:

  1. Bạn không thể đăng nhập như nguồn gốc - tài khoản bị khóa mật khẩu.
  2. Người dùng có thể đạt được nguồn gốc quyền chỉ thông qua sudo. Để làm điều đó họ phải ở trong sudo hoặc quản trị viên nhóm hoặc trực tiếp trong sudo tập tin cấu hình.

Vì vậy, nếu bạn muốn người dùng không thể sử dụng su, hãy xóa họ khỏi sudoquản trị viên các nhóm. Nếu họ có thể thực hiện một số nhiệm vụ quản trị viên, thì tốt hơn hãy thêm họ vào nhóm quản trị viên của tôi và cấu hình quyền của nhóm quản trị viên của tôi Trong sudoers tập tin cấu hình.

0 + 0
lá cờ ru
Thomas Ward
Điều này không vô hiệu hóa việc sử dụng lệnh `su` - lệnh đó sẽ vẫn hoạt động, nhưng trừ khi họ biết mật khẩu của những người dùng khác, nó sẽ không giúp ích gì cho họ. Chỉ để làm rõ vì việc xóa nhóm `sudo` hoặc `admin` sẽ không ngăn `su` vẫn thực hiện các chức năng của nó - họ chỉ không thể đăng nhập vào bất kỳ tài khoản nào nếu có PW bị khóa hoặc nếu họ không biết PW cho tài khoản họ đang cố gắng
1
Hồi đáp
pasman pasmański avatar
lá cờ mx
pasman pasmański
`Su` không bị vô hiệu hóa , vì bạn có thể chạy các lệnh hoạt động tương tự: `sudo sh` , `sudo bash`, v.v. Người dùng trong nhóm `sudo` có thể làm bất cứ điều gì, kể cả sửa chữa các tài khoản bị khóa. Người dùng trong nhóm 'myadmin` có thể có các quyền được xác định nghiêm ngặt. Những người dùng khác có quyền tiêu chuẩn.
0
Hồi đáp
lá cờ ru
Thomas Ward
Ngoại trừ bây giờ bạn đang nói về hai điều hoàn toàn khác nhau. OP đang hỏi cách **tắt `su`**, không tắt đăng nhập sudo/admin. Ngay cả khi ai đó không có quyền sudo, họ vẫn có thể sử dụng `su` để đăng nhập với những người dùng khác trên hệ thống.
1
Hồi đáp
pasman pasmański avatar
lá cờ mx
pasman pasmański
Vô hiệu hóa `su` không có ý nghĩa. Nếu một số người dùng có thể sử dụng `su otheruser` vì anh ta biết mật khẩu của người dùng khác, thì anh ta có thể đăng xuất và đăng nhập với tư cách người dùng khác.
1
Hồi đáp
bluesquare avatar
lá cờ ph
bluesquare
@ pasmanpasmaÅski Tôi bối rối. Tôi có thể đăng nhập với quyền root... sudo -s và sau đó tôi là root. Làm thế nào để bạn có nghĩa là bạn không thể đăng nhập với quyền root? Ngoài ra, hiện tại tôi có thể su root và tôi nghĩ rằng tôi đã đăng nhập bằng root (uid = 0)
0
Hồi đáp
Nmath avatar
lá cờ ng
Nmath
Vui lòng xem lại: https://askubuntu.com/q/687249
0
Hồi đáp
Nmath avatar
lá cờ ng
Nmath
Dựa trên cách diễn đạt của câu hỏi và các nhận xét, có vẻ như OP đang kết hợp `su` với `sudo` hoặc đăng nhập root hoặc có lẽ là `sudo su` - Nếu OP thực sự chỉ muốn vô hiệu hóa việc sử dụng `su`, tôi đồng ý rằng nó sẽ vô dụng- 1) vì bạn cần mật khẩu của người dùng để sử dụng nó và 2) nếu bạn có mật khẩu người dùng, bạn vẫn có thể đăng nhập với tư cách người dùng đó, khiến việc vô hiệu hóa `su` hoàn toàn không hiệu quả
0
Hồi đáp
pasman pasmański avatar
lá cờ mx
pasman pasmański
@Lojitech `sudo -s` hoạt động, vì bạn thuộc nhóm `sudo`. nếu bạn tạo một người dùng mới, anh ta không thể thực hiện `sudo -s`
0
Hồi đáp
bluesquare avatar
lá cờ ph
bluesquare
@ pasmanpasmaÅski OK nhưng như tôi đã nói, người dùng được ủy quyền sẽ có quyền truy cập sudo. Vì vậy, tôi đã hy vọng tìm hiểu xem liệu tôi có thể vô hiệu hóa su theo cách tôi đã đề cập trong bài đăng của mình một cách an toàn hay không
0
Hồi đáp
Điểm:0
bluesquare avatar Ubuntu
lá cờ ph
bluesquare

Cảm ơn @pasmanpasmaÅski và tất cả những người bình luận và trả lời câu hỏi, những người đã thực sự nâng cao hiểu biết của tôi về Ubuntu.

Để vô hiệu hóa su trên Ubuntu (và thực tế là một số bản phân phối redhat), hãy thực hiện chính xác điều này:

Chỉnh sửa /etc/pam.d/su

nhận xét ra yêu cầu xác thực pam_wheel.so và thêm yêu cầu xác thực pam_wheel.so use_uid phía dưới.

và bình luận ra xác thực đủ pam_rootok.so

(theo securitronlinux.com)

Sau đó, bạn có thể mong đợi: Không ai, kể cả root có thể su!

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.