關(guān)于su功能的一個小問題卻難為了我很久

cxb_xlh

各位老師好：
      在sco5.0.6中，我想屏蔽普通用戶su功能，防止普通用戶su到root。通過scoadmin或usermod更改用戶的auths屬性，例如我把fxps用戶的auths屬性改為mem lp cron，沒有了su，但此用戶仍可以su到root，不知何故，請老師們指教！

3sane

原帖由 cxb_xlh 于 2006-3-10 18:38 發(fā)表
各位老師好：
      在sco5.0.6中，我想屏蔽普通用戶su功能，防止普通用戶su到root。通過scoadmin或usermod更改用戶的auths屬性，例如我把fxps用戶的auths屬性改為mem lp cron，沒有了su，但此用戶仍可以su到roo ...

先檢查一下/usr/adm/sulog是哪個用戶切換的，確認他們不是通過telnet登錄的；再檢查一下/etc/default/su文件的內(nèi)容。然后可以考慮改root密碼，把su文件改名等等。

cxb_xlh

謝謝2樓老師!
      我們有一個應用，它要用到一個用戶，比如是admind吧，雖然它不是root用戶，但它的id是0（此應用必須使用一個id為0的使用），也就有root權(quán)限了，而且此用戶是普通人員使用的。如果通過admind正常登錄的話。它會進行一個菜單模式。退出時會退到login狀態(tài)；但是如果其他用戶用su admind的話，就會進行命令行模式，這樣admind用戶就相當于root了。如果屏蔽了一般用戶的su功能，那么其它用戶用不能su到admind用戶。
     我看了sulog日志，一般用戶都是通過telnet方式登錄的，而且把su文件改名之后也無效，不知還有沒有其它辦法。

saracui

不要給普通用戶root權(quán)，將你的程序改為有root權(quán)如何。

walsq

修改/etc/passwd
/bin/sh為你執(zhí)行的命令.

sam_8286

如果可以的話，修改程序比較好，退出菜單界面時退回到login狀態(tài)

[ 本帖最后由 sam_8286 于 2006-3-14 10:12 編輯 ]

win_bigboy

原帖由 cxb_xlh 于 2006-3-10 18:38 發(fā)表
各位老師好：
      在sco5.0.6中，我想屏蔽普通用戶su功能，防止普通用戶su到root。通過scoadmin或usermod更改用戶的auths屬性，例如我把fxps用戶的auths屬性改為mem lp cron，沒有了su，但此用戶仍可以su到roo ...

可以用文件屬性中的s位實現(xiàn)此功能，安全。

shuweich

在 scoadmin account 里不能設(shè)置嗎?

3sane

原帖由 cxb_xlh 于 2006-3-13 18:16 發(fā)表
謝謝2樓老師!
      我們有一個應用，它要用到一個用戶，比如是admind吧，雖然它不是root用戶，但它的id是0

id是0就是root了，只是名字不同，還是考慮修改你的程序，把文件的用戶修改為root，并為執(zhí)行文件增加s屬性，在程序中用setuid切換，別忘了把/etc/passwd文件里的id改回來。