开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >限制用户使用su切换身份

限制用户使用su切换身份

行者

发布于 2018-03-26 07:48:05

发布于 2018-03-26 07:48:05

3.2K00

代码可运行

举报

文章被收录于专栏：运维技术迷运维技术迷

运行总次数：0

代码可运行

如果不想任何人都可以用su命令成为root或只让某些用户有权使用su命令,那么只需要修改/etc/pam.d/su文件中配置即可实现.建议尽量限制用户通过su命令成为root。

1.对/etc/pam.d/su进行如下修改。

[root@svr5 shell]# vim /etc/pam.d/su
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth           required        pam_wheel.so use_uid    //将行首的#去掉使其成为有效行
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so

注意:/etc/pam.d/su配置文件中定义了wheel组,wheel组是系统中用于这个目的的特殊帐号.不能用别的组名.

2.创建用户lian和lian1 用来测试效果

[root@svr5 shell]# useradd lian
[root@svr5 shell]# useradd lian 1

3.将用户lian加入到wheel组

[root@svr5 shell]# usermod -G 10 lian
[root@svr5 shell]# id lian
uid=500(lian) gid=500(lian) 组=500(lian),10(wheel)

查看用户lian的属性

[root@svr5 shell]# id lian1
uid=504(lian1) gid=505(lian1) 组=505(lian1)

4.首先使用用户lian登陆系统，并使用su切换。

5.然后再使用用户lian1登陆系统切换，提示密码错误。

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

鹅厂写码13年，我总结的程序员高效阅读方法论

进程，线程，协程 - 你了解多少？

微服务与分布式系统设计看这篇就够了！

腾讯文档表格卡顿指标探索之路

从Hadoop1.0到Hadoop2.0架构的优化和发展探索详解

微服务架构：由浅入深带你了解底层注册中心

sudo和su的用法

bash bash 指令 ide 命令行工具

Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

dogfei

2020/07/31

9240

Linux下PAM模块学习总结

在Linux中执行有些程序时，这些程序在执行前首先要对启动它的用户进行认证，符合一定的要求之后才允许执行，例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的，PAM（Pluggable Authentication Modules）可动态加载验证模块，因为可以按需要动态的对验证的内容进行变更，所以可以大大提高验证的灵活性。一、PAM模块介绍 Linux-PAM（即linux可插入认证模块）是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说，不用(重新编写)

洗尽了浮华

2018/04/11

5.8K0

Linux下PAM模块学习总结

利用系统特性伪装成一个免密登陆后门

0x00. 引言这是一个使用到了一点小伎俩的后门，如果渗透进入一个系统并拿到root权限的shell，对方防火墙没有限制，则可以通过本文的方法运行一个root可登陆且不需要权限的ssh后门。这可以

FB客服

2018/02/28

1.2K0

利用系统特性伪装成一个免密登陆后门

【CentOS7操作系统安全加固系列】第(3)篇

ide ssh centos linux 数据库

规则描述：在给定时间段内已停用的用户帐户可以自动禁用。建议在密码到期后 30 天内处于非活动状态的帐户被禁用。

yuanfan2012

2020/11/10

2.3K0

【CentOS7操作系统安全加固系列】第(3)篇

Linux禁止非WHEEL用户使用SU命令原

通常情况下，一般用户通过执行“su -”命令、输入正确的root密码，可以登录为root用户来对系统进行管理员级别的配置。

拓荒者

2019/03/11

5.8K0

Linux之PAM系统模块详解说明

bash 指令 bash linux

[TOC] 0x00 前言介绍 Q:什么是PAM? 答:PAM 的全称为可插拔认证模块(Pluggable Authentication Modules:简称 PAM /pæm/ ),Linux中的一

全栈工程师修炼指南

2020/10/26

13.6K2

centos7.2系统优化原

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"

拓荒者

2019/03/11

1.2K0

PAM禁止root用户登录，限制普通su切换

系统环境是CentOS 6.4, 介绍下PAM(Pluggable Authentication Modules)在ssh服务上的简单配置过程。

星哥玩云

2022/06/29

3.2K0

腾讯云上的服务器安全加固

ssh ide linux tcp/ip

安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全四项，今天了解一下购买了腾讯云上的Linux的系统如何加固（CentOS）。

用户8639654

2021/08/03

6.9K0

统信服务器操作系统 [su sudo 用户权限控制]

操作系统服务器权限权限控制 sudo

su命令是当前用户用来切换到另外一个用户的命令，参数为用户名。执行时会要求输入密码，这个密码是你要切换到的用户的密码。

Kevin song

2024/05/20

5080

统信服务器操作系统 [su sudo 用户权限控制]

Linux系统如何在不知道账号密码的情况下切换用户？

linux 运维网络安全

例如，我们有一个名为postgres的用户帐户（默认的PostgreSQL超级用户系统帐户），我们希望名为postgres的组中的每个用户（通常是我们的PostgreSQL数据库和系统管理员）使用命令切换到postgres帐户，而无需输入密码su

网络技术联盟站

2021/11/08

2.3K0

Linux系统如何在不知道账号密码的情况下切换用户？

linux中没有密码的情况下切换到另一个用户帐户

云数据库 postgresql bash bash 指令 postgresql

如何在不需要密码的情况下切换到另一个或特定的用户帐户。例如，我们有一个名为postgres的用户帐户(PostgreSQL默认超级用户系统帐户)，我们希望名为postgres的组中的每个用户(通常是我们的PostgreSQL数据库和系统管理员)使用su命令切换到postgres帐户,而不需要输入密码。默认情况下，只有root用户可以在不输入密码的情况下切换到另一个用户帐户。任何其他用户将被提示输入他们要切换到的用户帐户的密码(或者如果他们使用sudo 命令，他们将被提示输入他们的密码),如果没有提供正确的

入门笔记

2022/06/02

1.9K0

linux 中关于PAM的点滴笔记

pam在linux系统中是非常常用，也是非常重要的一个子系统，然而对于pam,我们可能并没有太多的关注其man 帮助文件的说明，最近读了一下pam的man page, 许多不明白的豁然开朗，这里做一个简单的笔记： A. pam.d 是一个目录，一般情况下关于pam的配置都在这个目录下，其实还有一个配置文件 pam.conf ，不过一般都不存在，而在pam.conf这个配置文件中，关于语法的格式，在man pam.conf 或者man pam.d 的时候，有这么一段：

qsjs

2020/07/23

2.3K0

Cenos安全配置之身份识别相关

ssh 访问管理 ide

查看账户、口令文件、与系统管理员确认不必要的账户。对于一些保留的系统伪账户如：bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需求锁定登陆

释然IT杂谈

2020/06/12

2.7K0

RedHat Linux 用户登录认证失败

unix account root session time

今天客户反映一个问题，ssh不上自己的服务器了，进机房RedHat Linux本地登录(3级别)的时候发现输入root敲回车的时候出现如下提示：

星哥玩云

2022/07/01

8.8K0

用户切换问题：用户切换命令（如 su 和 sudo）使用不当，导致权限问题

是山河呀

2025/02/04

1690

Linux基线加固

主机安全的风险级别除了漏洞，另一个重要的参考值是安全基线的风险分值，本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本，供大家进行参考。

信安之路

2018/08/08

3.2K0

CentOS 7安装完成后初始化

bash bash 指令网络安全命令行工具

版权声明：本文为木偶人shaon原创文章，转载请注明原文地址，非常感谢。 https://blog.csdn.net/wh211212/article/details/52923673

shaonbean

2019/05/26

2.5K0

OpenLDAP集成sssd同步用户并集成SSH登录

存储 ssh 缓存

sssd服务是一个守护进程，该进程可以用来访问多种验证服务器，如LDAP，Kerberos等，并提供授权。SSSD是介于本地用户和数据存储之间的进程，本地客户端首先连接SSSD，再由SSSD联系外部资源提供者(一台远程服务器) (1)避免了本地每个客户端程序对认证服务器大量连接，所有本地程序仅联系SSSD，由SSSD连接认证服务器或SSSD缓存，有效的降低了负载。 (2)允许离线授权。SSSD可以缓存远程服务器的用户认证身份，这允许在远程认证服务器宕机是，继续成功授权用户访问必要的资源。

soundhearer

2020/10/16

2.9K0

OpenLDAP集成sssd同步用户并集成SSH登录

centos su sudo wheel

ssh bash bash 指令

为加强系统账户安全性，对系统及账户权限进行加固。修改ssh 服务端口号，禁止root账户远程登录，普通用户使用秘钥文件登录服务器后使用sudo 赋予完全的 root 权限。

Kevin song

2020/09/22

1.3K0

相关推荐

sudo和su的用法

更多 >

社区富文本编辑器全新改版！诚邀体验～

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验