Feb 012006
 

Linuxなんかですとpam_wheelでsuできるグループを制限したりできます。BSD系は最初からwheelグループに属してないとsuできなかったと思います。
Solarisはそんな仕組みがない(と思う)ので、古典的ですがコマンドファイルのパーミッションで特定グループに制限するようにしました。
suコマンドをみてみると

# ls -l /usr/bin/su
-r-sr-xr-x   1 root     sys        25748 Jun 17  2005 /usr/bin/su

となってますので、Otherのパーミッションを落として、sysグループ所属者のみ可、とするのが手取り早そうです。

# usermod -G sys hogehoge
# chmod o-rwx /usr/bin/su
bash-3.00# ls -l /usr/bin/su
-r-sr-x---   1 root     sys        25748 Jun 17  2005 /usr/bin/su

これでsysグループに所属しないユーザがsuしても、

$ su -
su: execute permission denied

として拒否されるようになります。

Sorry, the comment form is closed at this time.