Feb 012006
Linuxなんかですとpam_wheelでsuできるグループを制限したりできます。BSD系は最初からwheelグループに属してないとsuできなかったと思います。
Solarisはそんな仕組みがない(と思う)ので、古典的ですがコマンドファイルのパーミッションで特定グループに制限するようにしました。
suコマンドをみてみると
# ls -l /usr/bin/su -r-sr-xr-x 1 root sys 25748 Jun 17 2005 /usr/bin/su
となってますので、Otherのパーミッションを落として、sysグループ所属者のみ可、とするのが手取り早そうです。
# usermod -G sys hogehoge # chmod o-rwx /usr/bin/su bash-3.00# ls -l /usr/bin/su -r-sr-x--- 1 root sys 25748 Jun 17 2005 /usr/bin/su
これでsysグループに所属しないユーザがsuしても、
$ su - su: execute permission denied
として拒否されるようになります。
Sorry, the comment form is closed at this time.