[opensuse-ja] pam_wheel.soを追加してもsu -で昇格できてしまう。
Quantum1です。 suでrootになれるユーザーを制限しようと思い、以下のopenSUSEフォーラムの アーカイブを参考に行いました。(h省略) ttp://forums.opensuse.org/archives/sls-archives/archives-linux-tweaks/archives-tips-tricks-tweaks/361658-restricting-users-can-su-root.html アカウントに"my-user-name"と"other-user-name"があります。 "my-user-name"でkdmよりログインしています。 端末でrootになる。 1. /etc/groupと/etc/pam.d/suのバックアップをとる。 2. wheelグループの作成。これをyast2で行ったか、"# groupadd -g 10 wheel" で行ったか覚えていません。group IDが10であることを確認。 3. /etc/groupを編集。 wheel:x:10:my-user-name 4. /etc/pam.d/suに以下の行を挿入。 auth required pam_wheel.so 5. 他の端末を開き"# su"および"# su -"でrootに昇格出きるのを確かめる。 6. tty2で、他のユーザー"other-user-name"でログインし、suを実行。 # su Password: su: incorrect passwordと拒否されるのを確認。 ここまではできたのですが、"su -"だとrootに昇格できてしまいます。 再起動をしてみたり、/etc/pam.d/suでpam_wheel.soの後にスペースをおいて use_uidやgroup=wheelを付け足したり、 /etc/groupでwheel:x:10:root,my-user-nameとrootを付け足したり、 /etc/login.defsの最後の行に SU_WHEEL_ONLY yes を付け足したりしましたが、結果は変わりませんでした。 このいろいろいろ試したところでは、全ての組み合わせを順に変えて確かめたか どうか自身がありません。 どこが間違っているのか分からず、行き詰まっています。suでは昇格できないの で、全くうまくいっていない訳ではないと思うのですが、、。 ご教示お願いできますでしょうか? 2つのコンピュータでテストしていて、openSUSE 11.2のi386とx86_64がインス トールしてあります。 kernel versionは両方とも2.6.31.12-0.1-desktopです。 現在の内容です。 /etc/pam.d/su #%PAM-1.0 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid group=wheel auth include common-auth account include common-account password include common-password session include common-session session optional pam_xauth.so /etc/group wheel:x:10:root,my-user-name /etc/login.defsの最後の行 SU_WHEEL_ONLY yes 宜しくお願いします。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
松本です。
-------- Original Message --------
Subject: [opensuse-ja] pam_wheel.soを追加してもsu -で昇格できてしまう。
From: quantum1
Quantum1です。
suでrootになれるユーザーを制限しようと思い、以下のopenSUSEフォーラムの アーカイブを参考に行いました。(h省略) ttp://forums.opensuse.org/archives/sls-archives/archives-linux-tweaks/archives-tips-tricks-tweaks/361658-restricting-users-can-su-root.html
アカウントに"my-user-name"と"other-user-name"があります。 "my-user-name"でkdmよりログインしています。
端末でrootになる。 1. /etc/groupと/etc/pam.d/suのバックアップをとる。 2. wheelグループの作成。これをyast2で行ったか、"# groupadd -g 10 wheel" で行ったか覚えていません。group IDが10であることを確認。 3. /etc/groupを編集。 wheel:x:10:my-user-name 4. /etc/pam.d/suに以下の行を挿入。 auth required pam_wheel.so 5. 他の端末を開き"# su"および"# su -"でrootに昇格出きるのを確かめる。 6. tty2で、他のユーザー"other-user-name"でログインし、suを実行。 # su Password: su: incorrect passwordと拒否されるのを確認。
ここまではできたのですが、"su -"だとrootに昇格できてしまいます。
[snip]
現在の内容です。 /etc/pam.d/su #%PAM-1.0 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid group=wheel auth include common-auth account include common-account password include common-password session include common-session session optional pam_xauth.so
/etc/group wheel:x:10:root,my-user-name
/etc/login.defsの最後の行 SU_WHEEL_ONLY yes
宜しくお願いします。
自分が以前 11.0 を設定したときのメモが手元に残っていたのですが、それを見 てみたら…
/etc/pam.d/su 及び、/etc/pam.d/su-l の先頭に以下の行を追加する。
auth required /lib/security/pam_wheel.so group=wheel
…とありました。同じ設定でいいかどうか検証してはいませんが、11.2 でも /etc/pam.d 以下には su の他に su-l という設定ファイルがありますので、 su - の挙動を制御したい場合はこちらをいじる必要があると思います。今こち らの手元の環境で確認する時間的な余裕がないのですが、試してみてください。 その他の設定については、おそらく報告してくださっている内容で OK だと思い ます。 -- _/_/ Satoru Matsumoto - openSUSE Member - Japan _/_/ _/_/ Marketing/Weekly News/openFATE Screening Team _/_/ _/_/ mail: helios_reds_at_gmx.net / irc: HeliosReds _/_/ _/_/ http://blog.geeko.jp/author/heliosreds _/_/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
Quantum1です。 松本さん、うまくいきました。ありがとうございます! On 03/08/2010 02:16 AM, Satoru Matsumoto wrote:
松本です。 [snip]
自分が以前 11.0 を設定したときのメモが手元に残っていたのですが、それを見 てみたら…
/etc/pam.d/su 及び、/etc/pam.d/su-l の先頭に以下の行を追加する。
auth required /lib/security/pam_wheel.so group=wheel
…とありました。同じ設定でいいかどうか検証してはいませんが、11.2 でも /etc/pam.d 以下には su の他に su-l という設定ファイルがありますので、 su - の挙動を制御したい場合はこちらをいじる必要があると思います。今こち らの手元の環境で確認する時間的な余裕がないのですが、試してみてください。
その他の設定については、おそらく報告してくださっている内容で OK だと思い ます。
確認後、いろいろ付け足したのを全て消してみてもOKでした。 1. /etc/login.defsの最後の行の"SU_WHEEL_ONLY yes"。 これに関しては、webで見つけた「Manpage of LOGIN.DEFS」の最後に、 「shadow パスワード機能によって提供されてきた機能の大部分は、現在は PAM によって処理されている。したがって、 login(1), passwd(1), su(1) などのプ ログラムは、もはや /etc/login.defs を用いない。対応する PAM の設定ファイ ルを調べるようにしてほしい。」との記載がありましたので、はずしました。 2. "/etc/pam.d/su"と"/etc/pam.d/su -l"では auth requrired pam_wheel.so のみで、use_uidとgroup=wheelはコメントアウトしてもOKでした。 3. /etc/groupのwheelではrootをはずし、 "wheel:x:10:my-user-name"のみでOKでした。tty2からrootでログインして "# su - my-user-name"でmy-user-nameになれます。 (2.や3.を説明できませんが、、) 結果 "/etc/pam.d/su"と "/etc/pam.d/su-l"で auth requrired pam_wheel.so "/etc/group"で wheel:x:10:my-user-name この3つの変更でother-user-nameから"su"や"su -"によるrootへの昇格、 及び、my-user-nameへの変更が拒否されました。 検索するときに"su" "su -"の区別の仕方が分からず、困っていました。 openSUSEはsuとsudoの一方を標準から外していないdistributionなので、僕が仕 事ではなくめんどうを見ているけど、自分は普段使っていないコンピュータの管 理をする時など、適宜使えるように勉強しようと思っています。 お忙しい中教えてくださり、重ねてありがとうございます。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
松本さん、皆さん。 松本さんが教えてくださり動作することが確認できた後、いろいろコメントアウ トしましたが、先の設定ではkdesuが実行できないことが分かりました。またメ ニューからyast2が立ち上がりません。 Alt+F2でkdesuを実行するためには、/etc/pam.d/suでuse_uidが必要でした。 今のところ "/etc/pam.d/su" auth requrired pam_wheel.so use_uid (group=wheel省略) "/etc/pam.d/su-l" auth requrired pam_wheel.so (group=wheel省略) "/etc/group" wheel:x:10:my-user-name (rootを入れない) "/etc/login.defs" 設定を変えない。 (SU_WHEEL_ONLY yesを入れない) でmy-user-name以外からのsu及びsu -の実行の拒否、kdesuやメニューからの yast2が実行できます。 やはり理解せずに消してはダメですね。 松本さんが教えてくださったようにgroup=wheelも入れ、括弧で記載した省略し たものも全て入れた方が良いのかもしれません。 また何か見つけましたらご報告します。 Quantum1 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org
participants (2)
-
quantum1
-
Satoru Matsumoto