Как я могу заблокировать доступ к некоторым пользователям только в Linux

Я хочу настроить pam таким образом, чтобы мои некоторые пользователи могли работать только с некоторыми пользователями.

В RHEL4 я использовал

/etc/pam.d/su

auth required /lib/security/$ISA/pam_stack.so service=system-auth auth sufficient /lib/security/$ISA/pam_stack.so service=suroot-members auth required /lib/security/$ISA/pam_deny.so 

/etc/pam.d/suroot-members

 auth required /lib/security/$ISA/pam_wheel.so use_uid group=suroot auth required /lib/security/$ISA/pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/sumembers-access 

С приведенной выше конфигурацией пользователи в группе suroot могут только su для имени пользователя, указанного в «Membersembers-access». Но с OEL6 pam_stack.so устарел. Я попробовал настроить, как показано ниже, но работает не так, как ожидалось.

/etc/pam.d/su

 auth sufficient pam_rootok.so auth include system-auth auth include group2-members auth include group1-members auth required pam_deny.so account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so 

/etc/pam.d/group2-members

 auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access 

Выше не работает, все пользователи могут su для всех. Может ли кто-нибудь сказать, что я делаю неправильно?

Надеюсь, это поможет.

 # cat /etc/pam.d/su auth sufficient pam_rootok.so auth [default=1 success=ok ignore=ignore] pam_wheel.so trust use_uid group=group1 auth [success=2 default=die] pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [default=die success=ok ignore=ignore] pam_wheel.so trust use_uid group=group2 auth requisite pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user # cat /etc/security/su-group2-access |egrep -v "^#|^$" root 

Оригинальный ответ: используйте ниже

 # cat /etc/pam.d/su |egrep -v "^#|^$" auth sufficient pam_rootok.so auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group1 auth required pam_wheel.so use_uid group=group1 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group2 auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user # cat /etc/security/su-group2-access |egrep -v "^#|^$" root 
Interesting Posts

JAR Bundler с использованием OSXAdapter, заставляющий приложение запаздывать или заканчиваться

Проверка состояния сети в C #

Невозможно обработать проверку данных info.plist приложения в это время из-за общей ошибки (1095)

Программное обеспечение для преобразования CHM-файлов в EPUB / Kindle

Разница между View и ViewGroup в Android

Почему при вызове (статического) метода в нулевой ссылке не выбрасывается исключение NullPointerException?

Расширение Тильды в кавычках

`Cd` не меняет каталог в Windows 7

Являются ли составные утверждения (блоки) окруженными выражениями parens в ANSI C?

fgetc, проверка EOF

Как я могу поместить строку в Java?

Статические ссылки очищаются – действительно ли Android разгружает classы во время выполнения, если они не используются?

Тип GDB не работает на macOS Sierra

Как сделать отображение SUBST постоянным при перезагрузке?

Как ограничить тип файла в элементе управления FileUpload

Давайте будем гением компьютера.