■
「su」の使用を制限する設定
1.etc/login.defsに以下設定を追記*1
「SU_WHEEL_ONLY yes」
2./etc/pam.d/suに以下の行を追記
auth required pam_wheel.so use_uid*2
auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_wheel.so use_uid group=wheel
3.wheelグループに「su」を利用できるユーザを追加
gpasswd -a [suを使用させたいユーザ名] wheel
注意事項
・動作確認をrootから離れる前に必ず実施する
・想定どおりの動作をしない場合は以下のようにdebugを指定すると、syslogになにかしら吐いてくれるらしい
auth required pam_wheel.so use_uid debug
〜備考〜
・なぜ、これで「su」を制限できるのか
suコマンドはPAM*3を使って認証を行っている。
なので、/etc/pam.d/suの設定をいじることにより、制限が可能なのだとか。
・グループはwheelでないとダメなのか
どうも、昔の名残みたい。
wheel以外のグループでも可能で、その場合はpam_wheel.soの行に「group=グループ名」を以下のように追記すれば良い。
auth required pam_wheel.so use_uid group=[「su」を許可させたいグループ名]