Назад | Перейти на главную страницу

Можно ли отключить su для определенных пользователей, вошедших через ssh?

По сути, я использую Mac Mini в качестве сервера и пытаюсь закрыть некоторые дыры в безопасности. На моем сервере 3 пользователя: admin, git и server. У каждого пользователя включена аутентификация с открытым ключом, а аутентификация по паролю включена только у git. Однако после того, как пользователь вошел в систему как любая учетная запись, он может использовать su для входа в систему как другие пользователи с аутентификацией по паролю.

Я бы хотел отключить команду su для пользователей, вошедших через ssh как git или server, чтобы потенциальная черная шляпа не могла получить доступ к файлам других пользователей, войдя в систему с паролем. Если это невозможно сделать специально для ssh-соединений, можно полностью отключить команду для этих двух учетных записей. Однако я действительно хочу иметь возможность использовать su в качестве администратора, поэтому полное отключение команды не является вариантом.

Я в основном хочу, чтобы ЕДИНСТВЕННЫЙ способ доступа к администратору через ssh был с действующим открытым ключом, полученным только от системных администраторов, и отключал доступ для пользователей, у которых есть ключи для git или сервера, а затем пароль пользователя для администратора.

Это вообще возможно? Как бы я это сделал?