ターゲットユーザーのパスワードなしで、Sudoユーザーが別のユーザーに切り替えないようにしますか？

Question

タイトルがあいまいな場合は申し訳ありませんが、Ubuntuにはまったく慣れていませんが、すべてがSudoであるグループ「開発者」でそれを実行するWebサーバーをセットアップしただけです。

現時点では、ユーザーはアカウントに関連付けられたキーを使用してSSH経由でのみログインできます。ただし、user1は単純に次のことを実行できます。

Sudo su - user2

そして、パスワードなしでuser2として機能します。と同じ動作を強制する方法はありますか

su - user2

実際にはuser2のパスワードが必要ですか？それ以外の場合、各ユーザーのコマンドを追跡して、だれが何をしたかを確認します。

ありがとう！

muru · Accepted Answer

Sudo su -によるユーザーの切り替えを防ぐには、任意のユーザーに対するsuに対するルートの機能を無効にする必要があります。 /etc/pam.d/suを編集して、次の行をコメントします。

auth sufficient pam_rootok.so

上記の/etc/pam.d/suのコメントにあるように、これによりrootはパスワードなしでsuにアクセスできます。

または、Sudoの使用を、suを含まない限られたコマンドセットに制限し、Sudo -i -u/Sudo -s -uを介してユーザー切り替えを強制し、targetpwでsudoersオプションを有効にすることができます。

pthayer · Answer

Sudo特権は、マシン自体を管理する必要のある人にのみ付与する必要があります。他の特権は、グループおよびグループ特権を通じて管理できます。たとえば、「developer1」という名前のユーザーをwww-dataグループに追加します。

Sudo usermod -a -G www-data developer1

これにより、Apacheのwww-dataグループに「developer1」が追加されます。

Sudo chgrp -R www-data /var/www

/ var/www内のすべてのファイルとディレクトリがグループ「www-data」に属していることを確認します。

Sudo chmod -R g+w /var/www

グループが/ var/www内のすべてのファイルへの書き込みアクセス権を持っていることを確認します