Linux教程網 >> Linux管理 >> Linux維護 >> Linux系統中限制用戶su-權限的方法匯總

Linux系統中限制用戶su-權限的方法匯總

日期：2017/3/2 10:36:31 编辑：Linux維護

Linux下su-命令主要用於完整的切換到一個用戶環境，而該命令通常所有用戶都能使用，那麼如果要限制一般用戶使用，該如何做呢？下面小編就給大家介紹下Linux中限制用戶su-權限的方法。

但是，為了更進一步加強系統的安全性，有必要建立一個管理員的組，只允許這個組的用戶來執行“su -”命令登錄為root用戶，而讓其他組的用戶即使執行“su -”、輸入了正確的root密碼，也無法登錄為root用戶。在UNIX和Linux下，這個組的名稱通常為“wheel”。

一、禁止非whell組用戶切換到root

1、修改/etc/pam.d/su配置

代碼如下：

［root@db01 ~］# vi /etc/pam.d/su ← 打開這個配置文件

#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行，去掉行首的“#”

2、修改/etc/login.defs文件

代碼如下：

［root@db01 ~］# echo “SU_WHEEL_ONLY yes” 》》 /etc/login.defs← 添加語句到行末以上操作完成後，可以再建立一個新用戶，然後用這個新建的用戶測試會發現，沒有加入到wheel組的用戶，執行“su -”命令，即使輸入了正確的root密碼，也無法登錄為root用戶

3、添加一個用戶woo，測試是否可以切換到root

代碼如下：

［root@db01 ~］# useradd woo

［root@db01 ~］# passwd woo

Changing password for user woo.

New UNIX password：

BAD PASSWORD： it is WAY too short

Retype new UNIX password：

passwd： all authentication tokens updated successfull

4、通過woo用戶登錄嘗試切換到root

代碼如下：

［woo@db01 ~］$ su - root ← 即使密碼輸入正確也無法切換

Password：

su： incorrect password

［woo@db01 ~］$

5：把root用戶加入wheel組再嘗試切換，可以切換

代碼如下：

［root@db01 ~］# usermod -G wheel woo ← 將普通用戶woo加在管理員組wheel組中

［root@db01 ~］# su - woo

［woo@db01 ~］$ su - root ← 這時候我們看到是可以切換了

Password：

［root@db01 ~］#［code］《/p》《p》《strong》二、添加用戶到管理員，禁止普通用戶su到root《/strong》《/p》《p》6、添加用戶，並加入管理員組，禁止普通用戶su到root，以配合之後安裝OpenSSH/OpenSSL提升遠程管理安全《/p》《p》［code］［root@db01 ~］# useradd admin

［root@db01 ~］# passwd admin

Changing password for user admin.

New UNIX password：

BAD PASSWORD： it is too short

Retype new UNIX password：

passwd： all authentication tokens updated successfully.

［root@db01 ~］# usermod -G wheel admin （usermod -G wheel admin 或 usermod -G10 admin（10是wheel組的ID號））

［root@db01 ~］# su - admin

［admin@db01 ~］$ su - root

Password：

［root@db01 ~］#

方法一：wheel組也可指定為其它組，編輯/etc/pam.d/su添加如下兩行