From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <zxwarior@yandex.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
 sa.local.altlinux.org
X-Spam-Level: **
X-Spam-Status: No, score=2.2 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID, DKIM_VALID_AU, DNS_FROM_AHBL_RHSBL, FREEMAIL_FROM,
 FSL_HELO_BARE_IP_2, 
 RCVD_IN_DNSWL_NONE,RCVD_IN_MSPIKE_H3,RCVD_IN_MSPIKE_WL,SPF_PASS autolearn=no
 autolearn_force=no version=3.4.0
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
 t=1426537452; bh=fCFQ24YCZXY2DJx+0O4ityX1ilHLPpOSbrwEncZMShc=;
 h=From:To:In-Reply-To:References:Subject:Date;
 b=gvojWbXcy9eFkwgXRx8F3SnkJ8BFtwoDaMoLJSYiwgeAPP/adSiJrXUtOmWn2dsIL
 wKD0SFFPH2wWySCdFEfbab1ng7a2oirekrS6qbDeDO/0gMBRKoFVg6M7d7mvK8m8N4
 giqZfpHg3bSLHnfZaFGi5Zzdt3LxtWzzQpmYn9cs=
From: Speccyfighter <zxwarior@yandex.ru>
Envelope-From: zxwarior@yandex.by
To: ALT Linux Community general discussions <community@lists.altlinux.org>
In-Reply-To: <7EA92302-1D76-479B-999E-53BDFF5C299A@yandex.ru>
References: <55070FFD.1010908@complife.ru> <763261426527280@web10g.yandex.ru>
 <7EA92302-1D76-479B-999E-53BDFF5C299A@yandex.ru>
MIME-Version: 1.0
Message-Id: <1001151426537452@web25o.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Mon, 16 Mar 2015 23:24:12 +0300
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=koi8-r
Subject: Re: [Comm] passwd after su -
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Community general discussions
 <community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
 <mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
 <mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 16 Mar 2015 20:24:15 -0000
Archived-At: <http://lore.altlinux.org/community/1001151426537452@web25o.yandex.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

16.03.2015, 20:41, "Ruslan Hihin" <hihin@yandex.ru>:
>  А пользователь, знающий пароль root и так его может поменять. Это-же su, а не sudo.

Это в дефолтной системе.
После такого фокуса, для отдельного аккаунта ограниченного во всём,
включая на таймаут пароля,
wheel не только не сможет выполнять
команды root-том (а только apt-get через sudo),
но не сможет и зайти через single user, ни reboot'ом, ни через init,
ни через любой терминал:

$ cat big-blocking.txt
cat /etc/passwd|grep ^root
root:x:0:0:System Administrator:/root:/sbin/nologin

cat /etc/sudoers|grep ^ADM
ADM_USER        ALL=(ALL) /usr/bin/apt-get


Если понастроить заборов, то не поменяет ничего:
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-wstation-privileges.html

Или сильно ограничить таймаут рутовой сессии (стр. 42,43):
http://bruy.info/book.pdf


Да и passwd root работает же. Зачем ломать?

-- 
Лучшее - враг хорошего!
(Спектрумовский фольклор)