关于su功能的一个小问题却难为了我很久

cxb_xlh

各位老师好：
      在sco5.0.6中，我想屏蔽普通用户su功能，防止普通用户su到root。通过scoadmin或usermod更改用户的auths属性，例如我把fxps用户的auths属性改为mem lp cron，没有了su，但此用户仍可以su到root，不知何故，请老师们指教！

3sane

原帖由 cxb_xlh 于 2006-3-10 18:38 发表
各位老师好：
      在sco5.0.6中，我想屏蔽普通用户su功能，防止普通用户su到root。通过scoadmin或usermod更改用户的auths属性，例如我把fxps用户的auths属性改为mem lp cron，没有了su，但此用户仍可以su到roo ...

先检查一下/usr/adm/sulog是哪个用户切换的，确认他们不是通过telnet登录的；再检查一下/etc/default/su文件的内容。然后可以考虑改root密码，把su文件改名等等。

cxb_xlh

谢谢2楼老师!
      我们有一个应用，它要用到一个用户，比如是admind吧，虽然它不是root用户，但它的id是0（此应用必须使用一个id为0的使用），也就有root权限了，而且此用户是普通人员使用的。如果通过admind正常登录的话。它会进行一个菜单模式。退出时会退到login状态；但是如果其他用户用su admind的话，就会进行命令行模式，这样admind用户就相当于root了。如果屏蔽了一般用户的su功能，那么其它用户用不能su到admind用户。
     我看了sulog日志，一般用户都是通过telnet方式登录的，而且把su文件改名之后也无效，不知还有没有其它办法。

saracui

不要给普通用户root权，将你的程序改为有root权如何。

walsq

修改/etc/passwd
/bin/sh为你执行的命令.

sam_8286

如果可以的话，修改程序比较好，退出菜单界面时退回到login状态

[ 本帖最后由 sam_8286 于 2006-3-14 10:12 编辑 ]

win_bigboy

原帖由 cxb_xlh 于 2006-3-10 18:38 发表
各位老师好：
      在sco5.0.6中，我想屏蔽普通用户su功能，防止普通用户su到root。通过scoadmin或usermod更改用户的auths属性，例如我把fxps用户的auths属性改为mem lp cron，没有了su，但此用户仍可以su到roo ...

可以用文件属性中的s位实现此功能，安全。

shuweich

在 scoadmin account 里不能設置嗎?

3sane

原帖由 cxb_xlh 于 2006-3-13 18:16 发表
谢谢2楼老师!
      我们有一个应用，它要用到一个用户，比如是admind吧，虽然它不是root用户，但它的id是0

id是0就是root了，只是名字不同，还是考虑修改你的程序，把文件的用户修改为root，并为执行文件增加s属性，在程序中用setuid切换，别忘了把/etc/passwd文件里的id改回来。