いや、もともとね、Aというグループで使ってるサーバ（Solaris）があって、んで、新しく「Bというグループからもそのサーバを使いたい、でもSSHでログインできるだけにして欲しいし、他のユーザのホームディレクトリも見えないで欲しい」というお話でアレコレやった後。



「そいや、Solarisって誰でもsuできちゃうんじゃん」とか思って。



しかもね、そのグループBに属する方は、実は以前はグループAに属していたとゆー...。
だから、グループBからアクセスする方はそのサーバの内情を知ってる訳ですな。
で、rootになれないのは当然としてもね、グループBのユーザが、su - foo でグループAのユーザになれちゃ困る訳です。
だってお互いのホームディレクトリ内が見えちゃ困るって話な訳だから。
「んじゃぁやっぱり、とりあえずsuだけでもできちゃマズイじゃん。」などと。

んでまぁ「su位は制限しときますか」という話になって、下の「その１」を施したって事なんですけど。

でもねぇ、手元にある分厚ーいSolarisの本を数冊眺めてみても。
「/etc/default/su をきちんと設定して、定期的に /var/adm/sulog をチェックしましょー」
位しか書かれてなくて。
後は形ばかり「suは制限しましょー」と書かれていたり。そのsuの制限の仕方が解らない人は触っちゃいけないんだろうなぁ。Solarisは。

んで大体が、「rootにsuするのを制限する」って視点なのね。
マルチユーザ前提どころか、「/homeは実は/export/home」みたいな「ホームディレクトリだってNFSぅ〜」なSolarisで「他人にsuすることを制限する」って考えはないのかと。「wheel」ってグループがある様なOSしか縁のない私には理解不能でやんす。ってゆーか、マカーだし。ってゆーか、マカー（DTPオペ）がSolaris触ってるってのが異常事態って話もありますが（笑

つかさ、「/var/adm/sulog を定期的にチェック」ってさ、チェックして「あ。こいつrootになってやがる」って解った時にはもう終わってるんじゃないの？　ってゆーか、消すよね。不正な利用者なら。

ちなみに、「その１」の方法は、『新 The UNIX Super Text [下] 』（のP656だったかな？）を参考にさせてもらってます。

いやホント、「wheelってgroupを作るのはSolarisの流儀（とやらがあれば）に反するのか？」とか、ツマンナイことで悩んでたんですが、すっきりしました。