1.wheelグループでしかsu出来ないようにする設定
vi /etc/login.defs
# Only wheel group can su root
SU_WHEEL_ONLY yes
vi /etc/pam.d/su
# auth required pam_wheel.so use_uid
↑
ここのコメントを外す
2.テスト
sudo su - が許可されているグループ(server-admins)の既存ユーザ user1でログイン
[user1@rhel64 ~]$ su -
Password:
su: incorrect password
wheelグループでないからsuに失敗する。
[user1@rhel64 ~]$ sudo su -
[root@rhel64 ~]#
wheelグループではないがsudoコマンドでのsu - は成功する。
https://blog.server-tech.xyz/2021/02/20/rhel64-sudo-rotate-part2/
ブログの設定だと、suコマンド自体が使えなくなる。
sudo su - が許可されているグループ(server-admins)の新規ユーザ user3でログイン
[user3@rhel64 ~]$ su -
Password:
su: incorrect password
wheelグループでないからsuに失敗する。
[user1@rhel64 ~]$ sudo su -
[root@rhel64 ~]#
wheelグループではないがsudoコマンドでの"su -" は成功する。
wheelグループにユーザwheel1を作成。
[wheel1@rhel64 ~]$ su -
Password:
[root@rhel64 ~]#
wheelグループなので"su -" は成功する。
3.まとめ
SU_WHEEL_ONLYの設定が入っていると、通常ログインでのsuコマンドは失敗するようにできますが、
sudoでsuを実行した場合は/etc/sudoersで制限をかけていないと成功してしまうことがわかりました。