Wéi deaktivéiert 'su' Zougang fir Sudo Benotzer

De su Kommando ass e spezielle Linux Kommando deen Iech erlaabt e Kommando als en anere Benotzer a Grupp auszeféieren. Et erlaabt Iech och op de Root Kont ze wiesselen (wann Dir ouni Argumenter leeft) oder en anere spezifizéierte Benotzerkont.

All Benotzer als Standard sinn erlaabt Zougang zum su Kommando. Awer als Systemadministrator kënnt Dir su Zougang fir e Benotzer oder Grupp vu Benotzer auszeschalten, andeems Dir d'Sudoers Datei benotzt wéi hei ënnen erkläert.

D'sudoers Datei fiert de sudo Sécherheetspolitik Plugin deen d'Sudo Privilegien vun engem Benotzer bestëmmt. De sudo Kommando erlaabt d'Benotzer Programmer mat de Sécherheetsprivilegien vun engem anere Benotzer ze lafen (par défaut, als Root Benotzer).

Fir op en anere Benotzerkont ze wiesselen, kann e Benotzer de su Kommando aus hirer aktueller Login Sessioun ausféieren wéi gewisen. An dësem Beispill wiesselt de Benotzer Aaronk op en Testuser Kont. De Benotzer aaronk gëtt opgefuerdert d'Passwuert fir den Testuser Kont anzeginn:

$ su testuser

Fir op de Root Kont ze wiesselen, muss e Benotzer de Root Passwuert hunn oder Privilegien hunn fir de sudo Kommando opzeruffen. An anere Wierder, de Benotzer muss an der sudoers Datei existéieren. An dësem Beispill wiesselt de Benotzer aaronk (e sudo Benotzer) op de Root Kont.

Nodeems de Sudo opgeruff huet, gëtt de Benotzer Aaronk opgefuerdert säi Passwuert anzeginn, wann et valabel ass, kritt de Benotzer Zougang zu enger interaktiver Shell als Root:

$ sudo su

Desaktivéiere su Zougang fir e Sudo Benotzer

Fir den su Zougang fir e Sudo Benotzer zB deaktivéieren, zum Beispill den Aaronk Benotzer uewendriwwer, als éischt, Backup vun der ursprénglecher Sudoers Datei, déi um /etc/sudoers läit wéi follegt:

$ sudo cp /etc/sudoers /etc/sudoers.bak

Da öffnen d'Sudoers Datei mat dem folgenden Kommando. Notéiert datt et net recommandéiert ass d'Sudoers Datei mat der Hand z'änneren, benotzt ëmmer de visudo Kommando:

 
$ sudo visudo

Ënnert der Sektioun vun de Kommando Aliasen, erstellt de folgenden Alias:

Cmnd_Alias DISABLE_SU = /bin/su

Füügt dann déi folgend Zeil um Enn vun der Datei derbäi, ersetzt de Benotzernumm aaronk mam Benotzer fir deen Dir Su Zougang auszeschalten wëllt:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

Späichert d'Datei a maach se zou.

Test dann fir z'iwwerpréiwen datt de Setup funktionnéiert wéi follegt. De System soll eng Fehlermeldung wéi dës zréckginn: Entschëllegt, de Benotzer Aaronk ass net erlaabt '/bin/su' als Root op tecmint auszeféieren.

$ sudo su

Desaktivéiere su Zougang fir e Grupp vu Sudo Benotzer

Dir kënnt och su Zougang fir e Grupp vu sudo Benotzer auszeschalten. Zum Beispill fir Su Zougang fir all Benotzer am Grupp Administrateur auszeschalten, ännert d'Linn:

%admin ALL=(ALL) ALL

zu dësem:

%admin ALL=(ALL) ALL, !DISABLE_SU

Späichert d'Datei a maach se zou.

Fir e Benotzer an d'Administratiounsgrupp ze addéieren, fuert de Benotzermod Kommando (ersetzt de Benotzernumm mam aktuellen Benotzer):

$ sudo usermod -aG  admin  username

Fir méi Informatiounen iwwer d'su, sudo an sudoers, kuckt op hir Man Säiten:

$ man su
$ man sudo
$ man sudoers