Linux的wheel組：LINUX下使用者使用su命令切換使用者報錯su: Permission denied

Linux的wheel組：LINUX下使用者使用su命令切換使用者報錯su: Permission denied

  通常情況下，一般使用者透過執行“su -”命令、輸入正確的root密碼，可以登入為root使用者來對系統進行管理員級別的配置。

       但是，為了更進一步加強系統的安全性，有必要建立一個管理員的 組，只允許這個組的使用者來執行“su -”命令登入為root使用者，而讓其他組的使用者即使執行“su -”、輸入了正確的root密碼，也無法登入為root使用者。在UNIX和Linux下，這個組的名稱通常為“wheel”。

一、禁止非whell組使用者切換到root
1、 修改/etc/pam.d/su配置

[root@db01 ~]# vi /etc/pam.d/su ← 開啟這個配置檔案#auth required /lib/security/$ISA/pam_wheel.so use_uid      ← 找到此行，去掉行首的“#”

2、 修改/etc/login.defs檔案

[root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs　← 新增語句到行末以上操作完成後，可以再建立一個新使用者，然後用這個新建的使用者測試會發現，沒有加入到wheel組的使用者，執行“su -”命令，即使輸入了正確的root密碼，也無法登入為root使用者

 

3、 新增一個使用者woo，測試是否可以切換到root

[root@db01 ~]# useradd woo[root@db01 ~]# passwd wooChanging password for user woo.
New UNIX password: 
BAD PASSWORD: it is WAY too shortRetype new UNIX password: 
passwd: all authentication tokens updated successfull

 

4、透過woo使用者登入嘗試切換到root   

[woo@db01 ~]$ su - root           ← 即使密碼輸入正確也無法切換Password: su: incorrect password
[woo@db01 ~]$

 

5: 把root使用者加入wheel組再嘗試切換,可以切換

[root@db01 ~]# usermod -G wheel woo    ← 將普通使用者woo加在管理員組wheel組中[root@db01 ~]# su - woo[woo@db01 ~]$ su - root           ←  這時候我們看到是可以切換了   
Password: [root@db01 ~]#

 

二、新增使用者到管理員，禁止普通使用者su到root
6、新增使用者，並加入管理員組，禁止普通使用者su到root，以配合之後安裝OpenSSH/OpenSSL提升遠端管理安全

[root@db01 ~]# useradd admin[root@db01 ~]# passwd adminChanging password for user admin.New UNIX password: 
BAD PASSWORD: it is too shortRetype new UNIX password: 
passwd: all authentication tokens updated successfully.[root@db01 ~]# usermod -G wheel admin   (usermod -G wheel admin 或 usermod -G10 admin（10是wheel組的ID號））
[root@db01 ~]# su - admin
[admin@db01 ~]$ su - rootPassword: 
[root@db01 ~]#

 

方法一：wheel組也可指定為其它組，編輯/etc/pam.d/su新增如下兩行

[root@db01 ~]# vi /etc/pam.d/suauth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

 

方法二：編輯/etc/pam.d/su將如下行#符號去掉

[root@db01 ~]# vi /etc/pam.d/su#RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid 　 ← 找到此行，去掉行首的“#”#CentOS5#auth required pam_wheel.so use_uid 　 ← 找到此行，去掉行首的“#”

 

#儲存退出即可============

[root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs　← 新增語句到行末

以orguser身份登入後執行命令

su - newuser

輸入正確的密碼以後，報錯：

Account locked due to 216 failed logins
su: Permission denied

網上資料說檢查su命令的setuid屬性位，這個是正常的。

再查，發現系統為了提高安全性，有一個控制su許可權的wheel組。

當su許可權做了限制以後，只有wheel組的使用者才能正常切換

所以，就把使用者加到wheel組裡面就行了：

usermod -aG wheel orguser

這個問題其實出現好久，但是沒有找到其中的規律，

因為，我們一般是先登入使用者A，這個使用者屬於wheel組。

然後A使用者su切換到使用者B，B使用者不屬於wheel組。

關鍵的地方來了：B使用者此時可以su！

後來測試發現，登A切B可以SU，直接登B不可以！終於確定是wheel組的問題。

---

---

About Me

........................................................................................................................ ● 本文作者：小麥苗，部分內容整理自網路，若有侵權請聯絡小麥苗刪除 ● 本文在個人微 信公眾號（ DB寶）上有同步更新 ● QQ群號： 230161599 、618766405，微信群私聊 ● 個人QQ號（646634621），微 訊號（db_bao），註明新增緣由 ● 於 2020年7月 在西安完成 ● 最新修改時間：2020年7月 ● 版權所有，歡迎分享本文，轉載請保留出處 ........................................................................................................................ ● 小麥苗的微店： ● 小麥苗出版的資料庫類叢書： http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麥苗OCP、OCM、高可用、DBA學習班： http://blog.itpub.net/26736162/viewspace-2148098/ ● 資料庫筆試面試題庫及解答： http://blog.itpub.net/26736162/viewspace-2134706/ ........................................................................................................................ 請掃描下面的二維碼來關注小麥苗的微 信公眾號（ DB寶）及QQ群（230161599、618766405）、新增小麥苗微 信（db_bao）， 學習最實用的資料庫技術。 ........................................................................................................................