AIX 怎样禁止用户使用su命令,AIX 5.3测试使用Aix ACL可以,但是AIX 7.1不行
配置步骤如下:
以test1用户禁用su命令为例:
export EDITOR=/usr/bin/vi
cd /usr/bin
acledit su
屏幕显示:
attributes:
base permissions
owner (rcunning): rwx
group (staff): r——
others: ---
extended permissions
disabled
要设置扩展的权限,将“disabled ”设置改为“enabled”:
extend permissions
enabled
添加一行
permit r-- u: test1
AIX 7.1以后默认使用RBAC控制su的权限,如果你需要沿用以前的acl方式,需要首先解除默认的RBAC控制:
查询su的RBAC相关表项设置:
#lssecattr -c /usr/bin/su
删除su的RBAC相关表项设置:
#rmsecattr -c /usr/bin/su
再检查 lssecattr -c /usr/bin/su 应该提示找不到记录 ,然后setkst更新内核表,使得配置生效。
#setkst
完成上述操作后,你可以继续后续的ACL编辑部分。
当然更好的方式是通过RBAC方式来限制su操作:
https://www.ibm.com/docs/en/aix/7.2?topic=control-using-enhanced-rbac