Su apenas para um usuário ou grupo

Olá....gostaria de mudar as permissões para que os usuários não tenham permissão de executar o su - para mudar para root e apenas 1 usuário determinado ou um grupo.
Lendo um pouco consegui chegar à configuração no /etc/pam.d/su, onde eu descomentando a linha e colocando o grupo:

-----------------------

auth required pam_wheel.so deny group=users

----------------------
eu consigo bloquea-lo.....

porém gostaria de bloquear tudo e deixar um usuário ou um grupo ao invés de sair bloqueando geral...o que me sugerem????


a distro é Debian Lenny!!

Eu sugiro combinar ACL's:
chown root:admin /bin/su
chmod 750 /bin/su

(os usuários desbloqueados deve fazer parte do grupo admin)

Remova os usuários indesejados, dessa forma:

userdel -r nomedousuario

naum sei se entedi...remover os usuários????

Mas a saida é por ai mesmo, via pam, como fizeste.

Dependendo da distro, tem dois arquivos, o /etc/pam.d/su para quem executar su e o /etc/pam.d/su-l para quem executar "su -l"

Abra o /etc/pam.d/su ou su-l e deixe descomentada ou insira as seguintes linhas:

auth required pam_wheel.so

Com esta linha so pode executar su quem PERTENCER ao grupo whell. Ai tu cria um grupo e coloca como membro quem pode usar su. Veja que mesmo assim, quem executar su precisa conhecer a senha de root E TAMBEM pertencer ao grupo whell. Se um usuário não fizer parte deste grupo, mesmo sabendo a senha, não poderá entrar como root.

Se queres que usuários confiáveis se tornem root SEM PRECISAR CONHECER A SENHA de root, coloque ainda a seguinte linha:

auth sufficient pam_wheel.so trust

Assim, quem for do grupo whell, ao executar su se tornará root IMEDIATAMENTE, sem precisar da senha do mesmo.

naum...mesmo q pertencer ao grupo whee, desejo que entre com senha...porém este grupo naum existe no debvian (pelo menos naum achei)

o ice.

se voce tiver o modo gráfico dá para bloquear o uso do su nele.

http://www.vivaolinux.com.br/dica/Bloquear-restringir-acesso-ao-su-somente-ao-grupo-wheel/

substitua o wheel pelo grupo que voce quer colocar a permissão

"naum...mesmo q pertencer ao grupo whee, desejo que entre com senha...porém este grupo naum existe no debvian (pelo menos naum achei) "

Respondi esta pergunta também no meu post! Para deixar SEM SENHA, coloque a linha que começa com sufficient. Sem ela, terá senha!

E quanto ao grupo wheel, basta criar o grupo

Você pode usar esta mesma linha do pam.d de forma diferente. Veja:

auth required pam_wheel.so allow group=admin

Da forma que está escrito, irá restringir todos, com exceção do grupo "admin".

Abraço.

4 anos!!! Necromancia de tópicos ...rs

Brincadeiras à parte, se for só pro comando su eu costumo criar o arquivo /etc/suauth com o conteúdo:

root:ALL EXCEPT GROUP wheel:DENY

e vai ter o mesmo efeito de só poder rodar o su quem for do grupo wheel...
Não precisa de pam nesse caso


$ man suauth

Não funciona!
Este controle via /etc/suauth é depreciado.
O pam substitui este arquivo. Se tem pam, não tem suauth.

Como tu usas o slackware (já usei também) acredito que esta distro, por ser mais conservadora, ainda usa este tipo de permissão (a propósito: o slackware continua usando lilo? :-D Duvido que já tenham ido para o grub2, por exemplo)