RHEL6.4でwheelグループでしかsu出来ないようにする

1.wheelグループでしかsu出来ないようにする設定

vi /etc/login.defs

# Only wheel group can su root
SU_WHEEL_ONLY        yes

vi /etc/pam.d/su
# auth        required        pam_wheel.so use_uid
↑
ここのコメントを外す

2.テスト

sudo su - が許可されているグループ(server-admins)の既存ユーザ user1でログイン

[user1@rhel64 ~]$ su -
Password:
su: incorrect password
wheelグループでないからsuに失敗する。

[user1@rhel64 ~]$ sudo su -
[root@rhel64 ~]#
wheelグループではないがsudoコマンドでのsu - は成功する。

https://blog.server-tech.xyz/2021/02/20/rhel64-sudo-rotate-part2/
ブログの設定だと、suコマンド自体が使えなくなる。

sudo su - が許可されているグループ(server-admins)の新規ユーザ user3でログイン

[user3@rhel64 ~]$ su -
Password:
su: incorrect password
wheelグループでないからsuに失敗する。

[user1@rhel64 ~]$ sudo su -
[root@rhel64 ~]#
wheelグループではないがsudoコマンドでの"su -" は成功する。

wheelグループにユーザwheel1を作成。

[wheel1@rhel64 ~]$ su -
Password:
[root@rhel64 ~]#
wheelグループなので"su -" は成功する。

3.まとめ
SU_WHEEL_ONLYの設定が入っていると、通常ログインでのsuコマンドは失敗するようにできますが、
sudoでsuを実行した場合は/etc/sudoersで制限をかけていないと成功してしまうことがわかりました。

Comments are closed.