[Comm] passwd after su -

[Speccyfighter]

16.03.2015, 20:41, "Ruslan Hihin" <hihin на yandex.ru>:
>  А пользователь, знающий пароль root и так его может поменять. Это-же su, а не sudo.

Это в дефолтной системе.
После такого фокуса, для отдельного аккаунта ограниченного во всём,
включая на таймаут пароля,
wheel не только не сможет выполнять
команды root-том (а только apt-get через sudo),
но не сможет и зайти через single user, ни reboot'ом, ни через init,
ни через любой терминал:

$ cat big-blocking.txt
cat /etc/passwd|grep ^root
root:x:0:0:System Administrator:/root:/sbin/nologin

cat /etc/sudoers|grep ^ADM
ADM_USER        ALL=(ALL) /usr/bin/apt-get


Если понастроить заборов, то не поменяет ничего:
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-wstation-privileges.html

Или сильно ограничить таймаут рутовой сессии (стр. 42,43):
http://bruy.info/book.pdf


Да и passwd root работает же. Зачем ломать?

-- 
Лучшее - враг хорошего!
(Спектрумовский фольклор)