Intereting Posts

如何保护Tomcat 7免受Slowloris攻击慢“ifconfig lo” 在CentOS上用“没有包”的消息 Haproxy：如何在达到maxconn时主动重置客户端连接？具有NVcaching的RAID控制器是否可以提高SSDarrays的性能或完整性？ PHP + Apache作为正向/反向代理：如何在PHP中处理客户端请求和服务器响应？计算机的组策略不能应用，找不到PDC？无法让cron追加wget的输出 kops kubernetes仪表板不工作 setfacl：x.txt：不支持操作使用apache 2.2作为Microsoft Team Foundation Server 2015的反向代理的问题 Windows环境variables嵌套限制？你有什么技巧来优化你的Subversionconfiguration？证书颁发机构颁发的有效证书有条件地改变nginx中的MIMEtypes

普通用户在做

我正在使用Ubuntu服务器12.04。如果用户只是其自己的组的成员，为什么他仍然可以做SOME_OTHER_USER？我能阻止这个吗？

如果你不想让一个用户可以执行“su”，你可以将它的所有者设置为“root”，将chmod设置为700.只有root可以执行它。

如果你想要一个特殊的组的用户执行“su”，你可以设置它的组 – 可以说 – “轮”。然后将chmod改为770.并将所有必须执行“su”的用户放入wheel组。

我发现了一个我喜欢的解决scheme：

sudo groupadd nosu
sudo usermod -a -G nosu USERNAME
sudo vi /etc/pam.d/su
取消注释行：

auth需要pam_wheel.so否认group = nosu

我可以想到两个明显的解释：

用户仍保留在用户从授予权限的组中移除之前创build的login名
用户是明确列出的我/ etc / sudoers