當前位置：首頁 > 运维知识 > linux >内容正文

linux

Linux禁止非WHEEL用户使用SU命令

發布時間：2023/12/2 linux 32 豆豆

生活随笔收集整理的這篇文章主要介紹了 Linux禁止非WHEEL用户使用SU命令小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

通常情況下，一般用戶通過執行“su -”命令、輸入正確的root密碼，可以登錄為root用戶來對系統進行管理員級別的配置。

?????? 但是，為了更進一步加強系統的安全性，有必要建立一個管理員的組，只允許這個組的用戶來執行“su -”命令登錄為root用戶，而讓其他組的用戶即使執行“su -”、輸入了正確的root密碼，也無法登錄為root用戶。在UNIX和Linux下，這個組的名稱通常為“wheel”。

一、禁止非whell組用戶切換到root
1、修改/etc/pam.d/su配置

[plain] view plaincopyprint?

[root@db01?~]#?vi?/etc/pam.d/su?←?打開這個配置文件??

#auth?required?/lib/security/$ISA/pam_wheel.so?use_uid??????←?找到此行，去掉行首的“#”??

2、修改/etc/login.defs文件

[plain] view plaincopyprint?

[root@db01?~]#?echo?“SU_WHEEL_ONLY?yes”?>>?/etc/login.defs　←?添加語句到行末以上操作完成后，可以再建立一個新用戶，然后用這個新建的用戶測試會發現，沒有加入到wheel組的用戶，執行“su?-”命令，即使輸入了正確的root密碼，也無法登錄為root用戶??

3、添加一個用戶woo，測試是否可以切換到root

[plain] view plaincopyprint?

[root@db01?~]#?useradd?woo??

[root@db01?~]#?passwd?woo??

Changing?password?for?user?woo.??

New?UNIX?password:???

BAD?PASSWORD:?it?is?WAY?too?short??

Retype?new?UNIX?password:???

passwd:?all?authentication?tokens?updated?successfull??

4、通過woo用戶登錄嘗試切換到root???

[plain] view plaincopyprint?

[woo@db01?~]$?su?-?root???????????←?即使密碼輸入正確也無法切換??

Password:???

su:?incorrect?password??

[woo@db01?~]$???

5: 把root用戶加入wheel組再嘗試切換,可以切換

[plain] view plaincopyprint?

[root@db01?~]#?usermod?-G?wheel?woo????←?將普通用戶woo加在管理員組wheel組中??

[root@db01?~]#?su?-?woo??

[woo@db01?~]$?su?-?root???????????←??這時候我們看到是可以切換了?????

Password:???

[root@db01?~]#???????

二、添加用戶到管理員，禁止普通用戶su到root
6、添加用戶，并加入管理員組，禁止普通用戶su到root，以配合之后安裝OpenSSH/OpenSSL提升遠程管理安全

[plain] view plaincopyprint?

[root@db01?~]#?useradd?admin??

[root@db01?~]#?passwd?admin??

Changing?password?for?user?admin.??

New?UNIX?password:???

BAD?PASSWORD:?it?is?too?short??

Retype?new?UNIX?password:???

passwd:?all?authentication?tokens?updated?successfully.??

[root@db01?~]#?usermod?-G?wheel?admin???(usermod?-G?wheel?admin?或?usermod?-G10?admin（10是wheel組的ID號））??

[root@db01?~]#?su?-?admin??

[admin@db01?~]$?su?-?root??

Password:???

[root@db01?~]#???

方法一：wheel組也可指定為其它組，編輯/etc/pam.d/su添加如下兩行

[plain] view plaincopyprint?

[root@db01?~]#?vi?/etc/pam.d/su??

auth?sufficient?/lib/security/pam_rootok.so?debug??

auth?required?/lib/security/pam_wheel.so?group=wheel???

方法二：編輯/etc/pam.d/su將如下行#符號去掉

[plain] view plaincopyprint?

[root@db01?~]#?vi?/etc/pam.d/su??

#RedHat#auth?required?/lib/security/$ISA/pam_wheel.so?use_uid?　?←?找到此行，去掉行首的“#”??

#CentOS5#auth?required?pam_wheel.so?use_uid?　?←?找到此行，去掉行首的“#”??

#保存退出即可============

[plain] view plaincopyprint?

[root@db01?~]#?echo?"SU_WHEEL_ONLY?yes"?>>?/etc/login.defs　←?添加語句到行末??

總結

以上是生活随笔為你收集整理的Linux禁止非WHEEL用户使用SU命令的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Mongodb内存管理和使用情况情况查询
下一篇： linux 服务器账号及安全杂谈