前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Linux禁止非WHEEL用户使用SU命令 原

Linux禁止非WHEEL用户使用SU命令 原

作者头像
拓荒者
发布2019-03-11 09:58:30
5.1K0
发布2019-03-11 09:58:30
举报
文章被收录于专栏:运维经验分享运维经验分享

        通常情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。

       但是,为了更进一步加强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“wheel”。

一、禁止非whell组用户切换到root 1、 修改/etc/pam.d/su配置

代码语言:javascript
复制
[root@db01 ~]# vi /etc/pam.d/su ← 打开这个配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid      ← 找到此行,去掉行首的“#”

2、 修改/etc/login.defs文件

代码语言:javascript
复制
[root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs ← 添加语句到行末以上操作完成后,可以再建立一个新用户,然后用这个新建的用户测试会发现,没有加入到wheel组的用户,执行“su -”命令,即使输入了正确的root密码,也无法登录为root用户

3、 添加一个用户woo,测试是否可以切换到root

代码语言:javascript
复制
[root@db01 ~]# useradd woo
[root@db01 ~]# passwd woo
Changing password for user woo.
New UNIX password: 
BAD PASSWORD: it is WAY too short
Retype new UNIX password: 
passwd: all authentication tokens updated successfull

4、通过woo用户登录尝试切换到root   

代码语言:javascript
复制
[woo@db01 ~]$ su - root           ← 即使密码输入正确也无法切换
Password: 
su: incorrect password
[woo@db01 ~]$

5: 把root用户加入wheel组再尝试切换,可以切换

代码语言:javascript
复制
[root@db01 ~]# usermod -G wheel woo    ← 将普通用户woo加在管理员组wheel组中
[root@db01 ~]# su - woo

[woo@db01 ~]$ su - root           ←  这时候我们看到是可以切换了   
Password: 
[root@db01 ~]#

二、添加用户到管理员,禁止普通用户su到root 6、添加用户,并加入管理员组,禁止普通用户su到root,以配合之后安装OpenSSH/OpenSSL提升远程管理安全

代码语言:javascript
复制
[root@db01 ~]# useradd admin
[root@db01 ~]# passwd admin
Changing password for user admin.
New UNIX password: 
BAD PASSWORD: it is too short
Retype new UNIX password: 
passwd: all authentication tokens updated successfully.


[root@db01 ~]# usermod -G wheel admin   (usermod -G wheel admin 或 usermod -G10 admin(10是wheel组的ID号))
[root@db01 ~]# su - admin
[admin@db01 ~]$ su - root
Password: 
[root@db01 ~]#

方法一:wheel组也可指定为其它组,编辑/etc/pam.d/su添加如下两行

代码语言:javascript
复制
[root@db01 ~]# vi /etc/pam.d/su
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

方法二:编辑/etc/pam.d/su将如下行#符号去掉

代码语言:javascript
复制
[root@db01 ~]# vi /etc/pam.d/su
#RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”
#CentOS5#auth required pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”

#保存退出即可============

代码语言:javascript
复制
[root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加语句到行末

(实际测试这步操作可省略)

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2018/12/04 ,如有侵权请联系 cloudcommunity@tencent.com 删除
centos

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

centos
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论