Giunsa Pag-disable ang 'su' nga Pag-access alang sa mga Gumagamit sa Sudo

Ang su command usa ka espesyal nga Linux command nga nagtugot kanimo sa pagpadagan sa usa ka command isip laing user ug grupo. Gitugotan ka usab niini nga mobalhin sa root account (kung modagan nga wala’y bisan unsang mga argumento) o lain nga piho nga account sa gumagamit.

Ang tanan nga tiggamit pinaagi sa default gitugotan sa pag-access sa su command. Apan isip usa ka administrador sa sistema, mahimo nimong i-disable ang su access para sa usa ka user o grupo sa mga tiggamit, gamit ang sudoers file sama sa gipatin-aw sa ubos.

Ang sudoers file nagmaneho sa sudo security policy plugin nga nagtino sa mga pribilehiyo sa sudo sa usa ka user. Ang sudo command nagtugot sa mga tiggamit sa pagpadagan sa mga programa nga adunay mga pribilihiyo sa seguridad sa laing user (sa default, isip root user).

Aron makabalhin sa laing user account, ang usa ka user makadagan sa su command gikan sa ilang kasamtangan nga sesyon sa pag-login sama sa gipakita. Sa kini nga pananglitan, ang user aaronk nagbalhin sa usa ka account sa testuser. Ang user aaronk pagaaghaton sa pagsulod sa password alang sa testuser account:

$ su testuser

Aron makabalhin sa root account, ang usa ka user kinahanglan adunay root password o adunay mga pribilihiyo sa paggamit sa sudo command. Sa laing pagkasulti, ang user kinahanglan anaa sa sudoers file. Niini nga pananglitan, ang user nga si aaronk (usa ka sudo user) mibalhin sa root account.

Human sa pagtawag sudo, ang user aaronk giaghat sa pagsulod sa iyang password, kon kini balido, ang user gihatagan og access sa usa ka interactive nga kabhang ingon nga gamut:

$ sudo su

I-disable ang pag-access alang sa usa ka Sudo User

Aron ma-disable ang su access para sa sudo user pananglitan ang aaronk user sa ibabaw, una, i-back up ang orihinal nga sudoers file nga nahimutang sa /etc/sudoers sama sa mosunod:

$ sudo cp /etc/sudoers /etc/sudoers.bak

Dayon ablihi ang sudoers file gamit ang mosunod nga sugo. Timan-i nga dili girekomenda nga i-edit ang sudoers file pinaagi sa kamot, gamita kanunay ang visudo command:

 
$ sudo visudo

Ubos sa seksyon sa mga alias sa command, paghimo sa mosunod nga alias:

Cmnd_Alias DISABLE_SU = /bin/su

Dayon idugang ang mosunod nga linya sa katapusan sa file, ilisan ang username nga aaronk sa user nga gusto nimong i-disable ang su access para:

aaronk ALL=(ALL) NOPASSWD: ALL, !DISABLE_SU

I-save ang file ug isira kini.

Dayon sulayi aron mapamatud-an nga ang setup nagtrabaho sama sa mosunod. Kinahanglang ibalik sa sistema ang usa ka mensahe sa sayup nga sama niini: \Pasayloa, ang user aaronk dili gitugotan sa pag-execute sa '/bin/su' isip gamut sa tecmint..

$ sudo su

I-disable ang Access para sa Grupo sa Sudo Users

Mahimo usab nimo nga ma-disable ang pag-access sa usa ka grupo sa mga tiggamit sa sudo. Pananglitan sa pag-disable sa pag-access sa tanan nga tiggamit sa admin sa grupo, usba ang linya:

%admin ALL=(ALL) ALL

niini:

%admin ALL=(ALL) ALL, !DISABLE_SU

I-save ang file ug isira kini.

Aron makadugang ug user sa admin group, padagana ang usermod command (ilisan ang username sa aktuwal nga user):

$ sudo usermod -aG  admin  username

Para sa dugang nga impormasyon bahin sa su, sudo ug sudoer, susiha ang ilang mga man page:

$ man su
$ man sudo
$ man sudoers