Linux禁止非WHEEL使用者使用SU命令
通常情況下,一般使用者透過執行“su -”命令、輸入正確的root密碼,可以登入為root使用者來對系統進行管理員級別的配置。
但是,為了更進一步加強系統的安全性,有必要建立一個管理員的 組,只允許這個組的使用者來執行“su -”命令登入為root使用者,而讓其他組的使用者即使執行“su -”、輸入了正確的root密碼,也無法登入為root使用者。在UNIX和Linux下,這個組的名稱通常為“wheel”。
一、禁止非whell組使用者切換到root
1、 修改/etc/pam.d/su配置
-
[root@db01 ~]# vi /etc/pam.d/su ← 開啟這個配置檔案
- #auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
2、 修改/etc/login.defs檔案
- [root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs ← 新增語句到行末以上操作完成後,可以再建立一個新使用者,然後用這個新建的使用者測試會發現,沒有加入到wheel組的使用者,執行“su -”命令,即使輸入了正確的root密碼,也無法登入為root使用者
-
[root@db01 ~]# useradd woo
-
[root@db01 ~]# passwd woo
-
Changing password for user woo.
-
New UNIX password:
-
BAD PASSWORD: it is WAY too short
-
Retype new UNIX password:
- passwd: all authentication tokens updated successfull
4、透過woo使用者登入嘗試切換到root
-
[woo@db01 ~]$ su - root ← 即使密碼輸入正確也無法切換
-
Password:
-
su: incorrect password
- [woo@db01 ~]$
5: 把root使用者加入wheel組再嘗試切換,可以切換
-
[root@db01 ~]# usermod -G wheel woo ← 將普通使用者woo加在管理員組wheel組中
-
[root@db01 ~]# su - woo
-
-
[woo@db01 ~]$ su - root ← 這時候我們看到是可以切換了
-
Password:
- [root@db01 ~]#
二、新增使用者到管理員,禁止普通使用者su到root
6、新增使用者,並加入管理員組,禁止普通使用者su到root,以配合之後安裝OpenSSH/OpenSSL提升遠端管理安全
-
[root@db01 ~]# useradd admin
-
[root@db01 ~]# passwd admin
-
Changing password for user admin.
-
New UNIX password:
-
BAD PASSWORD: it is too short
-
Retype new UNIX password:
-
passwd: all authentication tokens updated successfully.
-
-
-
[root@db01 ~]# usermod -G wheel admin (usermod -G wheel admin 或 usermod -G10 admin(10是wheel組的ID號))
-
[root@db01 ~]# su - admin
-
[admin@db01 ~]$ su - root
-
Password:
- [root@db01 ~]#
方法一:wheel組也可指定為其它組,編輯/etc/pam.d/su新增如下兩行
-
[root@db01 ~]# vi /etc/pam.d/su
-
auth sufficient /lib/security/pam_rootok.so debug
- auth required /lib/security/pam_wheel.so group=wheel
-
[root@db01 ~]# vi /etc/pam.d/su
-
#RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
- #CentOS5#auth required pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
#儲存退出即可============
- [root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 新增語句到行末
(實際測試這步操作可省略)
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/20674423/viewspace-1286954/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux的wheel組:LINUX下使用者使用su命令切換使用者報錯su: Permission deniedLinux
- Linux中如何禁止普通使用者使用su命令Linux
- 禁止su命令
- linux 禁止普通使用者su到root使用者Linux
- Linux基礎命令---切換使用者suLinux
- Linux命令 切換使用者型別 suLinux型別
- Linux命令su、sudo、sudo su、sudo -i使用和區別Linux
- Linux使用者管理之su、whoami、groupadd、groupmod、groupdel命令講解Linux
- Linux– su和sudo 切換使用者Linux
- linux精講——su切換使用者Linux
- Linux基礎命令---suLinux
- 【轉】linux下命令su與su - 的區別。Linux
- linux下su切換oracle使用者命令列前出現-bash-3.2$LinuxOracle命令列
- Linux下su與su -命令的本質區別Linux
- su命令使用詳解(轉)
- Linux su命令和sudo命令的區別Linux
- su命令切換使用者有什麼注意事項?linux系統入門學習Linux
- Linux 命令 su 和 sudo 的區別Linux
- 在Linux中如何禁止使用者登入Linux
- 用於與非 Linux 使用者一同工作的 Linux 命令列工具Linux命令列
- Linux su 切換到某使用者時報錯: could not open sessionLinuxSession
- [20170705]理解linux su命令.txtLinux
- su和sudo命令
- 深度解析!Linux 命令 su 和 sudo 的區別Linux
- linux刪除使用者命令Linux
- Linux 使用者和使用者組命令詳解Linux
- linux 非root使用者原始碼安裝Linux原始碼
- [重慶思莊每日技術分享]-如何禁止普通使用者使用crontab 命令?
- Oracle 禁止刪除使用者Oracle
- 禁止使用者的DDL操作
- Linux命令分享- 新建使用者和組命令Linux
- linux每日命令(30):Linux 使用者及使用者組相關檔案、命令詳解Linux
- Linux下ulimit、find命令使用者LinuxMIT
- linux使用者管理基本命令Linux
- 如何在 Linux 中建立非登入使用者?Linux
- 快速上手Linux核心命令(十一):Linux使用者相關命令Linux
- Linux使用者/使用者組/許可權相關命令Linux
- 如何在Linux中如何限制對su命令的訪問Linux