обделить рута

Так что способов нету?

> чтоб рут не мог удаленно залогинится

Через что? Telnet? ssh?

Первое (telnetd) должно быть оторвано как класс из соображений элементарной безопасности.

Второе -- в конфиге sshd.

В /etc/ssh/sshd_config:
PermitRootLogin no

Есть конфиругационный файл, где описано с каких консолей может логиниться root. Честно, говоря не помню, как он называется. Имел только однажды с ним дело, когда не мог залогиниться не на одну консоль.

А насчет su. Создай группу, добавь в неё нужного пользователя и разреши выполнение только root и этому пользователю. Ты думаешь права для файлов придумали просто так?

/etc/securetty

2fghi.
>когда не мог залогиниться не на одну консоль.

и как Вы решили эту проблему(у меня что-то аналогичное, roota токо по ssh пущает)

Я бы эксплойтом бы воспользовался :)))))) Только если ядро свежее - то пришлось бы долго ждать

> и как Вы решили эту проблему
Прописать в /etc/securetty требуемое устройство (консоль) и все. А еще не плохо было бы посмотреть /etc/security/access.conf, а также настройки PAM (/etc/pam.d/login).

Так как никто не ответил по делу, вставлю свои 5 копеек. Общая идея: с целью повышения безопасности системы оторвем

1. возможность логиниться суперпользователю (root) 2. выполнение комагды su root кому нипопадя.

Для начала, чтоб не было мучительно больно (особенно если машина на другом конце города) добавим пользователя user1 в группу wheel:

#usermod -G wheel user1

следующим шагом добавляем в файл /etc/pam.d/su строку auth required /lib/security/pam_wheel.so

в итоге только члены группы wheel могут делать #su root

Чтобы нельзя было залогиниться root через ssh меняем в /etc/ssh/sshd_config, как тут уже писали

"PermitRootLogin yes" на "PermitRootLogin no"

теперь чтоб удаленно поработать рутом, необходимо залогиниться под user1 и выполнить su.