Início / server / Perguntas / 17814
Accepted
gharper
Asked: 2009-06-03 07:13:43 +0800 CST

Como posso permitir que um usuário su para outro sem permitir acesso root?

  • 772

Eu gostaria de permitir que certos usuários su para outra conta de usuário sem ter que saber a senha dessa conta, mas não permitir o acesso a qualquer outra conta de usuário (ou seja, root).
Por exemplo, eu gostaria de permitir que Tom o DBA su para o usuário oracle, mas não para o usuário ou root do tomcat.

Imagino que isso possa ser feito com o arquivo /etc/sudoers - é possível? Se sim, como?

linux security sudo

4 respostas

  1. Best Answer

    Sim, isso é possível.

    Em /etc/sudoers o item imediatamente após o equals é o usuário que o comando terá permissão para executar.

    tom  ALL=(oracle) /bin/chown tom *

    O usuário (tom) pode digitar sudo -u oracle /bin/chown tom /home/oracle/oraclefile

    • 57

  2. Adicione ao seu /etc/sudoers algo como

    tom ALL=(oracle) ALL

    Então o usuário tom deve ser capaz de usar o sudo para executar as coisas como usuário oracle com a opção -u, sem deixar o tom

    Ou seja, obter um shell como oráculo do usuário (bem, dado que seu sudo é novo o suficiente para ter a opção -i).

    sudo -u oracle -i
    • 48

  3. Para fornecer SOMENTE os recursos na pergunta, adicione o seguinte a /etc/sudoers:

    tom            ALL=(oracle)    /bin/bash

    Então Tom pode:

    sudo -u oracle bash -i
    • 10

  4. Por exemplo, eu gostaria de permitir que Tom o DBA su para o usuário oracle, mas não para o usuário ou root do tomcat.

    Eu precisava fazer isso em um sistema recentemente e tive dificuldade em encontrar minhas notas na configuração alternativa que usei anos atrás, que também permitia a sintaxe su <user>. Na minha situação eu precisava permitir vários usuários para suum usuário específico.

    Crie um grupo usando addgroup <groupName>o que outros usuários poderão fazer susem uma senha. Em seguida, adicione esse grupo a cada usuário que você deseja habilitar a suesse usuário sem uma senha: usermod -a -G <groupName> <userName>(ou usermod -a -G oracle tom). As alterações do grupo podem não ter efeito até o próximo login.

    Obs: No seu caso, você já tem o grupo porque o oraclegrupo teria sido criado quando você fez o usuário oracle com adduser oracle.

    Agora edite /etc/pam.d/sue sob o seguinte:

    # This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

    ..adicione linhas de regra de autenticação para que a seção fique assim:

    # This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
auth       [success=ignore default=1] pam_succeed_if.so user = <groupName>
auth       sufficient   pam_succeed_if.so use_uid user ingroup <groupName>

    Substitua <groupName>por oracleneste caso. Isso permitirá que qualquer usuário que faça parte <groupName>dosu <groupName>

    Agora tompode su oraclee se precisar dar a outros usuários o mesmo acesso, adicione-os ao oraclegrupo.

    pergunta parecida aqui

    • 4

relate perguntas