lxc コンテナで動かしている alpine で必要になったのでメモ。
alpine linux 3.7 で確認しています。
- パッケージの導入
apk add linux-pam shadow - pam の設定
/etc/pam.d/suを次の通りに設定(既存の設定は削除)
/etc/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so root_only use_uid
auth substack base-auth
でよいかと。あとは適当なユーザを wheel group に所属させてください。
shadow パッケージを導入しないと、 /bin/su は /bin/bbsuid へのシンボリックリンクトなっているが
bbsuid は pam を利用してくれないようで、期待通り動かなかった(wheel group に所属していないユーザでも su で root になれた)です。
参考 : https://unix.stackexchange.com/questions/433565/alpine-linux-restrict-su-l-to-wheel-group