===== Limitar la posibilidad de acceder a root y cambiar de una cuenta de usuario a otra =====

==== Desactivar el usuario root mediante password ====

**Opcion 1**:  Comando

<code bash>sudo passwd -l root</code>


**Opcion 2**: Editando el fichero ///etc/passwd// (Eliminar la X o bien poner otro carácter "!"):

<code>root::0:0...</code>


NOTA: Si hay un usuario con acceso a sudo, este podría realizar "//sudo -s//" y pasar al usuario root.


==== Desactivar el comando "SU" por medio de PAM ====

**Opción 1**: Evitar el uso de "su" incluso a root, fichero: ///etc/pam.d/su//

<code>
auth            requisite       pam_denny.so
auth            sufficient      pam_rootok.so
</code>

<code bash>
su jasmin
su: Módulo desconocido
</code>

NOTA: Si root no puede utilizar el comando "su"  pero sí "sudo", podría arrancar aplicaciones con el ID de cualquier usuario usando "//sudo -u comando//"

**Opcion 2**: Evita el uso de "su", solo root podrá ejecutarlo. Dichero: ///etc/pam.d/su//

<code bash>auth            sufficient      pam_rootok.so
auth            requisite       pam_denny.so
</code>


Limitar el uso del comando "su" solo al usuario root y grupos determinados.

<code>auth       sufficient pam_rootok.so
auth       required   pam_wheel.so group=jasmin
</code>

==== Desactivar sudo ====

Eliminar del fichero ///etc/sodoers// los usuarios o grupos configurados. Si el fichero no tiene nada configurado realmente no tiene razón de ser, es como si no estuviera instalado.


==== Otras formas ====

  * Jugando con los permisos de dichos ejecutables (su / sudo) con ACLs.
  * Usando accesos limitados a los ejecutables del sistema (chroot / rbash).
  * Modificar dichos ejecutables por scripts y controlar así su ejecución. 
  * EL comando runuser permite especificar cómodamente usuario / grupo para lanzar aplicaciones. Solo puede ser utilizado por el super usuario (root).