Dalam beberapa situasi, Anda perlu membatasi akses su ke:
– hanya pengguna 'oracle' yang dapat beralih ke pengguna tertentu (misalnya beralih ke admin dengan 'su – admin' untuk memelihara sistem), beralih ke pengguna lain akan masih gagal.
– pengguna lain tidak dapat mengakses su.
Memodifikasi pengaturan PAM default untuk su dapat mencapai tujuan. Langkah-langkah di bawah ini untuk mengatur batasan untuk su:
1. Buat grup baru untuk oracle yang diizinkan untuk dijalankan su:
# groupadd adminmembers
2. Tambahkan pengguna (oracle) ke grup:
# usermod -G adminmembers oracle
3. Buat /etc/security/su-adminmembers-access file dan tambahkan 'admin' ke dalamnya:
# cat /etc/security/su-adminmembers-access admin
Pastikan /etc/security/su-adminmembers-access hanya dapat ditulis untuk pengguna 'root' dan bukan pengguna lain.
# ls -l /etc/security/su-adminmembers-access -rw-r--r-- 1 root root 7 Dec 4 12:44 /etc/security/su-adminmembers-access
4. Tambahkan aturan berikut ke /etc/pam.d/su file konfigurasi:
auth required pam_wheel.so use_uid group=adminmembers debug auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-adminmembers-access
Dengan dua aturan di atas, beralih pengguna dengan su akan dibatasi untuk:
- Hanya pengguna di grup 'adminmembers' (misalnya dalam hal ini, oracle) yang dapat beralih ke admin dengan 'su – admin' dengan passwd yang valid
- Pengguna di grup 'adminmembers' hanya dapat beralih ke 'admin' dengan 'su – admin', beralih ke pengguna lain masih gagal
- Pengguna TIDAK dalam grup 'adminmembers' tidak dapat menggunakan 'su' untuk berpindah pengguna
- Pengguna 'root' masih dapat beralih ke pengguna lain
- Harap diingatkan bahwa pengaturan di atas hanya dapat dipertimbangkan jika Anda memerlukan kebijakan su yang ketat. Secara umum, penggunaan sudo disarankan untuk mencapai kebijakan peralihan yang lebih adaptif.