По умолчанию каждый пользователь Linux может переключиться на других пользователей, введя команду 'su'. Это необходимо в том случае, если непривилегированным пользователям нужно запустить команды и программы, требующие административных привилегий или разрешений. Это также используется, если пользователю просто нужно запустить команды от имени другого пользователя. С другой стороны, это может стать проблемой безопасности, в случае если неавторизованные пользователи перейдут под логин root и будут выполнять команды, на которые они не имеют права в обычных условиях. Поэтому рекомендуется отключить доступ su для неавторизованных пользователей в вашей системе. В этой статье мы узнаем, как отключить доступ su для пользователей sudo в Linux.
Вы можете использовать эти шаги на всех системах Ubuntu или Debian.
Как отключить доступ su к Sudo в Linux
Обычно пользователи sudo переключаются на учетную запись root с помощью следующей команды.
| 1 | sudo su |
Эта команда позволяет пользователям sudo, то есть пользователям с привилегиями, переключиться на учетную запись суперпользователя root, просто используя пароль своей первоначальной учетной записи. Это позволяет пользователям или группе пользователей получить больше привилегий, чем им положено.
Поскольку мы используем команду sudo для выполнения команды su, Linux будет искать учетную запись пользователя, который выполняет эту команду, в файлах /etc/sudoers или /etc/sudoers.d. Если совпадение найдено, то этот пользователь будет найден. Если совпадение найдено, этому пользователю предоставляются привилегии на выполнение команд от имени пользователя root, в соответствии с правилами, применимыми для этого пользователя. В противном случае команда отклоняется, а экземпляр записывается в журнал.
Команда Sudo работает путем поиска соответствия в файлах /etc/sudoers или /etc/sudoers.d для пользователя, выполняющего команду sudo. Первое совпадающее правило решает исход. Поэтому порядок правил в этих файлах имеет большое значение.
Поэтому мы изменим этот файл, чтобы убедиться, что обычные пользователи sudo не смогут получить доступ root с помощью команды 'sudo su'.
Войдите в Linux под пользователем root.
Откройте терминал и выполните следующую команду для резервного копирования файла /etc/sudoers.
| 1 | cp -p /etc/sudoers /etc/sudoers.ORIG |
Откройте файл /etc/sudoers в текстовом редакторе.
| 1 | visudo -f /etc/sudoers |
Этот файл содержит множество правил, некоторые из них предназначены для всех пользователей, а некоторые - для определенных пользователей или групп пользователей. Найдите следующую строку для пользователя, которому вы хотите запретить эту команду. В нашем примере мы будем изменять привилегии sudo пользователя test_user. Поэтому правило будет начинаться с имени пользователя test_user.
| 1 2 | ##Разрешить пользователю test_user выполнять любую команду test_user ALL=(ALL) ALL |
Измените его на следующее.
| 1 2 | ##Запретить пользователю test_user выполнять любую команду, кроме sudo su to root test_user ALL = ALL, !/bin/su |
Сохраните и закройте файл.
Повторите описанные выше шаги для других пользователей вашей учетной записи. Теперь, когда вы войдете в систему под именем test_user и выполните команду 'sudo su', вы получите следующую ошибку.
| 1 | sudo su - |
Пример ошибки:
| 1 | Sorry, user test_user is not allowed to execute '/bin/su -' as root on vm01. |
Заключение
В этой статье мы узнаем, как отключить доступ su для группы пользователей sudo. Вы можете использовать эти шаги во всех дистрибутивах Debian/Ubuntu, чтобы предотвратить использование пользователями и группами пользователей sudo команды sudo su для перехода в разряд пользователей root.