2015年8月15日土曜日

[CentOS5] 一般ユーザーは root にスイッチ(su)できないように制限する


一般ユーザーが、root にスイッチ(su) できないように制限するには、/etc/pam.d/su ファイルを修正します。デフォルトでは、下記赤字部分がコメントアウトされているので、行先頭のコメント(#)を削除して"wheel"グループに所属し ていないユーザーは root にスイッチできないようにします。
"wheel"グループは、rootにスイッチできるユーザーを所属させるためのグループでデフォルトで用意されています。
#%PAM-1.0
 auth            sufficient      pam_rootok.so
 # Uncomment the following line to implicitly trust users in the "wheel" group.
 #auth           sufficient      pam_wheel.so trust use_uid
 # Uncomment the following line to require a user to be in the "wheel" group.
 #auth           required        pam_wheel.so use_uid
 auth            include         system-auth
 account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
 account         include         system-auth
 password        include         system-auth
 session         include         system-auth
 session         optional        pam_xauth.so

この設定後、rootへのスイッチ(su)を許可したいユーザーがある場合は、"wheel"グループに所属させます。
例えば、既存の"admin"ユーザーを"wheel" グループに所属させるには、以下のように "usermod"コマンドを使用します。
usermod -G wheel admin