suコマンドの実行を制限する方法を調べていると、wheelグループのみ実行可能にするという例を見かけます。
Debianでグループを調べてみるとwheelというグループは存在していません。 「第 9 章 - Debian システムのチューニング」 を見ると、admグループがwheelグループの代わり として使用されているようですので、ここではadmグループにのみsuコマンドが実行できるよう 設定します。
suコマンドを実行してもよいユーザーをadmグループに追加します。ここでは、hogeユーザーをadmグループに追加します。
# usermod -G adm hoge
指定したグループのみsuコマンドが実行できるよう、PAMの設定を修正します。
# vi /etc/pam.d/su # (Replaces the `SU_WHEEL_ONLY' option from login.defs) # auth required pam_wheel.so auth required pam_wheel.so group=adm
以上で設定は終了です。
suコマンドを実行する権限の無いユーザーでsuコマンドを実行すると、次のように表示されます。
$ su Password: su: Permission denied
Copyright 1997-2008 BBB All rights reserved.