Модули РАМ и команда su

В отличие от предыдущего модуля pam_listf ile, который ограничивает круг пользователей, чьи имена могут указываться в качестве аргументов команды su, модуль pam_wheel ограничивает только попытки выполнения команды su root. Для этого используется специальная группа wheel, идентификатор которой равен О . По умолчанию модуль разрешает выполнять команду su root только членам группы wheel. Это еще один модуль, который может иметь только тип auth. Его аргументы описан в табл. 5.13.

Некоторые аргументы использовать нежелательно. Например, аргумент use_id заставляет модуль присвоить себе эффективный идентификатор текущего пользователя. В результате пользователь, не являющийся членом группы wheel, может выполнить команду su wheel, а затем — su root. Такие "лазейки" следует перекрывать, а не разрешать. Аргумент trust может привести к тому, что для выполнения команды su root членам группы wheel не понадобится вводить пароль. Это зависит от расположения модулей в стеке. Старайтесь использовать эти два аргумента только в целях отладки.

Во многих версиях Linux существует группа root с идентификатором 0. Следовательно, можно создать группу wheel с другим идентификатором, например 10 (в Red Hat 7.2 это уже сделано), и воспользоваться аргументом group модуля pam_wheel. Соответствующий файл /etc/pam. d/su показан в листинге 5.23. Убедитесь, что в файле /etc/group определена группа wheel. Только ее членам разрешено выполнять команды.

Таблица 5.13. Аргументы модуля pam_wheel Аргумент Описание

debug Заставляет модуль направлять дополнительные сообщения в систему Syslog

use_id Заставляет модуль использовать значение UID текущего процесса, а не значение, возвращаемое функцией getlogin(). В результате контроль доступа может осуществляться на основании эффективного, а не реального идентификатора, что не рекомендуется в коммерческой среде trust Заставляет модуль успешно завершиться, если пользователь является членом группы wheel. В результате члены этой группы могут становиться супер-пользователями, не вводя пароль. Используйте этот аргумент с предельной осторожностью deny Инвертирует логику работы модуля

group=группа Вместо пользователей группы wheel включает в разрешающий список пользователей указанной группы ду su root. Всем остальным пользователям будет выдаваться сообщение об ошибке Password incorrect, даже если они знают правильный пароль.

Листинг 5.23. Файл /etc/pam. d/su, содержащий вызов модуля pam_wheel

auth required /lib/security/pam_wheel.so group=wheel

auth required /lib/security/pam_unix.so

account required /lib/security/pam_unix.so

password required /lib/security/pam_cracklib.so minlen=20 retry=3

password required /lib/security/pam_unix.so md5 use_authtok

session required /lib/security/pam_unix.so


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок