suを制限すると言えばWheelだけではない。
suを制限したいことありました。ubuntu だとSuなんてはじめから使えない。
Ubuntuはどうやってるか
/etc/shadow ファイルを見てみたら一目で分かる。
1 root:!:14166:0:99999:7::: 2 daemon:*:13991:0:99999:7::: 3 bin:*:13991:0:99999:7::: 4 sys:*:13991:0:99999:7::: 5 sync:*:13991:0:99999:7::: 6 games:*:13991:0:99999:7::: 7 man:*:13991:0:99999:
実現方法
https://wiki.ubuntulinux.jp/UbuntuTips/Others/RootSudo一度有効にしたrootアカウントの無効化
なんらかの理由で有効にしたrootアカウント を再び無効にするには、以下のコマンドを実行して下さい。sudo usermod -p '!' root
たったこれだけ。
そう、たったこれだけ。WheelもPAMもいらない。
su を制限する = Rootにパスワードをつけない
でもPAMつかえって・・・
*BSDな人達はWheelを使う。BSDをまねして出来たのがLinuxのPAM_WHEELだから。
Wheelでも良いんですよね。
ubuntuはさらにちょっと特殊なことやってる。
- シングルユーザモードに入れない!
Ubuntuのsuloginプログラムはロックされたrootパスワードを取り扱えるように改変されています。
sudo の方が管理しやすい。pam でユーザー一覧を管理するより、Sudoで必要なだけ権限を渡すのが便利で良いと思うし、sudo でログ取れるし、なにより、Historyに残る。そして、Rootの.bash_history が汚れない。「誰がナニをしたか」を簡単に追跡できて好き
*1:PAM使うならもっといろいろ有るんだけど。。。