Как я могу заблокировать доступ к некоторым пользователям только в Linux

Я хочу настроить pam таким образом, чтобы мои некоторые пользователи могли работать только с некоторыми пользователями.

В RHEL4 я использовал

  • Почему vsftpd не позволит мне войти в систему с учетной записью виртуального пользователя?
  • /etc/pam.d/su

    auth required /lib/security/$ISA/pam_stack.so service=system-auth auth sufficient /lib/security/$ISA/pam_stack.so service=suroot-members auth required /lib/security/$ISA/pam_deny.so 

    /etc/pam.d/suroot-members

     auth required /lib/security/$ISA/pam_wheel.so use_uid group=suroot auth required /lib/security/$ISA/pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/sumembers-access 

    С приведенной выше конфигурацией пользователи в группе suroot могут только su для имени пользователя, указанного в «Membersembers-access». Но с OEL6 pam_stack.so устарел. Я попробовал настроить, как показано ниже, но работает не так, как ожидалось.

    /etc/pam.d/su

     auth sufficient pam_rootok.so auth include system-auth auth include group2-members auth include group1-members auth required pam_deny.so account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so 

    /etc/pam.d/group2-members

     auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access 

    Выше не работает, все пользователи могут su для всех. Может ли кто-нибудь сказать, что я делаю неправильно?

  • Альтернатива для sudo
  • Почему vsftpd не позволит мне войти в систему с учетной записью виртуального пользователя?
  • Команда: sudo su -
  • В чем разница между sudo su - и sudo -i?
  • Возможно ли, чтобы root выполнил команду как non-root?
  • Предоставить пароль SU в сценарии bash, в скрипте?
  • One Solution collect form web for “Как я могу заблокировать доступ к некоторым пользователям только в Linux”

    Надеюсь, это поможет.

     # cat /etc/pam.d/su auth sufficient pam_rootok.so auth [default=1 success=ok ignore=ignore] pam_wheel.so trust use_uid group=group1 auth [success=2 default=die] pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [default=die success=ok ignore=ignore] pam_wheel.so trust use_uid group=group2 auth requisite pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user # cat /etc/security/su-group2-access |egrep -v "^#|^$" root 

    Оригинальный ответ: используйте ниже

     # cat /etc/pam.d/su |egrep -v "^#|^$" auth sufficient pam_rootok.so auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group1 auth required pam_wheel.so use_uid group=group1 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group2 auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user # cat /etc/security/su-group2-access |egrep -v "^#|^$" root 
    Давайте будем гением компьютера.