場合によっては、su アクセスを次のように制限する必要があります。
– ユーザー 'oracle' のみが特定のユーザーに切り替えることができます (たとえば、システムを維持するために 'su – admin' で admin に切り替える)。他のユーザーに切り替えると、それでも失敗します。
– 他のユーザーは su にアクセスできません。
su のデフォルトの PAM 設定を変更すると、目的を達成できます。 su の制限を設定する手順は次のとおりです:
1. su の実行を許可する oracle 用の新しいグループを作成します:
# groupadd adminmembers
2. ユーザー (oracle) をグループに追加します。
# usermod -G adminmembers oracle
3. /etc/security/su-adminmembers-access を作成します ファイルに「admin」を追加します:
# cat /etc/security/su-adminmembers-access admin
/etc/security/su-adminmembers-access が「root」ユーザーのみが書き込み可能であり、他のユーザーが書き込み可能でないことを確認してください。
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. 次のルールを /etc/pam.d/su に追加します 構成ファイル:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
上記の 2 つのルールにより、su によるユーザーの切り替えは次のように制限されます:
- グループ「adminmembers」(この場合は oracle) のユーザーのみが、有効なパスワードを使用して「su – admin」で管理者に切り替えることができます
- グループ「adminmembers」のユーザーは、「su – admin」によってのみ「admin」に切り替えることができます。他のユーザーへの切り替えは引き続き失敗します
- グループ「adminmembers」に属していないユーザーは、「su」を使用してユーザーを切り替えることはできません
- ユーザー「root」は引き続き他のユーザーに切り替えることができます
- 上記の設定は、そのような厳格な su ポリシーが必要な場合にのみ考慮されることに注意してください。一般に、より適応性の高いスイッチング ポリシーを実現するには、sudo の使用が推奨されます。
sudoers 構成ファイルでユーザーの「sudo su」を無効にする方法
RHEL/CentOS のマルチパス ストレージで LVM を使用すると、「重複した PV が見つかりました」という警告が表示される