suコマンドの実行を制限する

suコマンドの実行を制限する方法を調べていると、wheelグループのみ実行可能にするという例を見かけます。

Debianでグループを調べてみるとwheelというグループは存在していません。 「第 9 章 - Debian システムのチューニング」 を見ると、admグループがwheelグループの代わり として使用されているようですので、ここではadmグループにのみsuコマンドが実行できるよう 設定します。

suコマンドを実行してもよいユーザーをadmグループに追加します。ここでは、hogeユーザーをadmグループに追加します。

# usermod -G adm hoge

PAMの設定

指定したグループのみsuコマンドが実行できるよう、PAMの設定を修正します。

# vi /etc/pam.d/su

# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so
auth       required   pam_wheel.so group=adm

以上で設定は終了です。

suコマンドを実行する権限の無いユーザーでsuコマンドを実行すると、次のように表示されます。

$ su
Password:
su: Permission denied