Impedire a determinati utenti l’utilizzo di su

Su un sistema multiutente, un cracker ha molti più account da violare e quindi molte più possibilità di accedere al sistema.

Ovviamente, l’obiettivo di un attaccante sarà sempre quello di ottenere i permessi di root, quindi far sì che soltanto determinati utenti possano utilizzare su può rivelarsi un’indispensabile misura di sicurezza.

Il metodo corretto di implementare questa misura di sicurezza è quella di agire su PAM, il sistema che controlla gli accessi su quasi tutte le distribuzioni Linux.

Acquisite i permessi di root e aprite con un editor di testo il file di configurazione PAM per su:

nano -w /etc/pam.d/su

A questo punto decommentate o aggiungete la riga seguente per consentire solamente agli utenti del gruppo wheel di utilizzare il comando su:

auth		required	pam_wheel.so use_uid

Ora non vi resta che aggiungere al gruppo wheel gli utenti desiderati.

Se la distribuzione che state utilizzando non fa uso di PAM (ad esempio Slackware) potete agire su permessi del file. Ad esempio potreste agire come segue:

gruppadd suuser
chown root:suuser /bin/su
chmod 710 /bin/su

In ordine: 1) abbiamo creato un gruppo specifico in cui verranno inseriti gli utenti che dovranno essere abilitati ad utilizzare il comando su, 2) abbiamo reso l’eseguibile di su proprietà dell’utente root e del gruppo suuser, 3) abbiamo dati pieni permessi sul file all’utente root, permesso di esecuzione al gruppo suuser e nessun permesso a tutti gli altri (che quindi non potranno eseguire il file).

Per vedere come aggiungere utenti ad un gruppo, vi rimando ad un’altra guida.

La soluzione com PAM è, a mio avviso, più pulita ed elegante. Nel secondo caso, infatti, il sistema darà un errore di permessi, mentre PAM prenderà in giro l’utente dicendogli che la password è errata anche se questi dovesse inserire la password corretta.