suコマンドの実行を制限する
suコマンドの実行を制限する方法を調べていると、wheelグループのみ実行可能にするという例を見かけます。
Debianでグループを調べてみるとwheelというグループは存在していません。 「第 9 章 - Debian システムのチューニング」 を見ると、admグループがwheelグループの代わり として使用されているようですので、ここではadmグループにのみsuコマンドが実行できるよう 設定します。
suコマンドを実行してもよいユーザーをadmグループに追加します。ここでは、hogeユーザーをadmグループに追加します。
# usermod -G adm hoge
PAMの設定
指定したグループのみsuコマンドが実行できるよう、PAMの設定を修正します。
# vi /etc/pam.d/su
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
auth required pam_wheel.so group=adm
以上で設定は終了です。
suコマンドを実行する権限の無いユーザーでsuコマンドを実行すると、次のように表示されます。
$ su
Password:
su: Permission denied