Linux的wheel組:LINUX下使用者使用su命令切換使用者報錯su: Permission denied
Linux的wheel組:LINUX下使用者使用su命令切換使用者報錯su: Permission denied
通常情況下,一般使用者透過執行“su -”命令、輸入正確的root密碼,可以登入為root使用者來對系統進行管理員級別的配置。
但是,為了更進一步加強系統的安全性,有必要建立一個管理員的 組,只允許這個組的使用者來執行“su -”命令登入為root使用者,而讓其他組的使用者即使執行“su -”、輸入了正確的root密碼,也無法登入為root使用者。在UNIX和Linux下,這個組的名稱通常為“wheel”。
一、禁止非whell組使用者切換到root
1、 修改/etc/pam.d/su配置
[root@db01 ~]# vi /etc/pam.d/su ← 開啟這個配置檔案#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
2、 修改/etc/login.defs檔案
[root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs ← 新增語句到行末以上操作完成後,可以再建立一個新使用者,然後用這個新建的使用者測試會發現,沒有加入到wheel組的使用者,執行“su -”命令,即使輸入了正確的root密碼,也無法登入為root使用者
3、 新增一個使用者woo,測試是否可以切換到root
[root@db01 ~]# useradd woo[root@db01 ~]# passwd wooChanging password for user woo. New UNIX password: BAD PASSWORD: it is WAY too shortRetype new UNIX password: passwd: all authentication tokens updated successfull
4、透過woo使用者登入嘗試切換到root
[woo@db01 ~]$ su - root ← 即使密碼輸入正確也無法切換Password: su: incorrect password [woo@db01 ~]$
5: 把root使用者加入wheel組再嘗試切換,可以切換
[root@db01 ~]# usermod -G wheel woo ← 將普通使用者woo加在管理員組wheel組中[root@db01 ~]# su - woo[woo@db01 ~]$ su - root ← 這時候我們看到是可以切換了 Password: [root@db01 ~]#
二、新增使用者到管理員,禁止普通使用者su到root
6、新增使用者,並加入管理員組,禁止普通使用者su到root,以配合之後安裝OpenSSH/OpenSSL提升遠端管理安全
[root@db01 ~]# useradd admin[root@db01 ~]# passwd adminChanging password for user admin.New UNIX password: BAD PASSWORD: it is too shortRetype new UNIX password: passwd: all authentication tokens updated successfully.[root@db01 ~]# usermod -G wheel admin (usermod -G wheel admin 或 usermod -G10 admin(10是wheel組的ID號)) [root@db01 ~]# su - admin [admin@db01 ~]$ su - rootPassword: [root@db01 ~]#
方法一:wheel組也可指定為其它組,編輯/etc/pam.d/su新增如下兩行
[root@db01 ~]# vi /etc/pam.d/suauth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel
方法二:編輯/etc/pam.d/su將如下行#符號去掉
[root@db01 ~]# vi /etc/pam.d/su#RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”#CentOS5#auth required pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
#儲存退出即可============
[root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 新增語句到行末
以orguser身份登入後執行命令
su - newuser
輸入正確的密碼以後,報錯:
Account locked due to 216 failed logins
su: Permission denied
網上資料說檢查su命令的setuid屬性位,這個是正常的。
再查,發現系統為了提高安全性,有一個控制su許可權的wheel組。
當su許可權做了限制以後,只有wheel組的使用者才能正常切換
所以,就把使用者加到wheel組裡面就行了:
usermod -aG wheel orguser
這個問題其實出現好久,但是沒有找到其中的規律,
因為,我們一般是先登入使用者A,這個使用者屬於wheel組。
然後A使用者su切換到使用者B,B使用者不屬於wheel組。
關鍵的地方來了:B使用者此時可以su!
後來測試發現,登A切B可以SU,直接登B不可以!終於確定是wheel組的問題。
About Me
........................................................................................................................ ● 本文作者:小麥苗,部分內容整理自網路,若有侵權請聯絡小麥苗刪除 ● 本文在個人微 信公眾號( DB寶)上有同步更新 ● QQ群號: 230161599 、618766405,微信群私聊 ● 個人QQ號(646634621),微 訊號(db_bao),註明新增緣由 ● 於 2020年7月 在西安完成 ● 最新修改時間:2020年7月 ● 版權所有,歡迎分享本文,轉載請保留出處 ........................................................................................................................ ● 小麥苗的微店: ● 小麥苗出版的資料庫類叢書: http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麥苗OCP、OCM、高可用、DBA學習班: http://blog.itpub.net/26736162/viewspace-2148098/ ● 資料庫筆試面試題庫及解答: http://blog.itpub.net/26736162/viewspace-2134706/ ........................................................................................................................ 請掃描下面的二維碼來關注小麥苗的微 信公眾號( DB寶)及QQ群(230161599、618766405)、新增小麥苗微 信(db_bao), 學習最實用的資料庫技術。
........................................................................................................................ |
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26736162/viewspace-2710973/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux禁止非WHEEL使用者使用SU命令Linux
- Linux基礎命令---切換使用者suLinux
- Linux命令 切換使用者型別 suLinux型別
- Linux– su和sudo 切換使用者Linux
- linux精講——su切換使用者Linux
- Linux su 切換到某使用者時報錯: could not open sessionLinuxSession
- linux下su切換oracle使用者命令列前出現-bash-3.2$LinuxOracle命令列
- Linux中如何禁止普通使用者使用su命令Linux
- 【轉】linux下命令su與su - 的區別。Linux
- Linux下su與su -命令的本質區別Linux
- su命令切換使用者有什麼注意事項?linux系統入門學習Linux
- 解決“su: cannot open session: Permission denied”Session
- linux 禁止普通使用者su到root使用者Linux
- Linux命令su、sudo、sudo su、sudo -i使用和區別Linux
- 切換使用者時提示:cannot change directory to /home/oracle: Permission deniedOracle
- Linux使用者管理之su、whoami、groupadd、groupmod、groupdel命令講解Linux
- Linux基礎命令---suLinux
- 透過su - userName 切換使用者,無法透過userdel -r 刪除使用者?
- Linux su命令和sudo命令的區別Linux
- Linux 命令 su 和 sudo 的區別Linux
- linux下 如何切換到root使用者Linux
- linux 切換使用者報Resource temporarily unavailableLinuxAI
- 【ERROR】su user報'This account is currently not available'錯誤 for linuxErrorAILinux
- Linux下使用者的管理(使用者新增,刪除,查詢,切換等)Linux
- 深度解析!Linux 命令 su 和 sudo 的區別Linux
- Linux下的使用者及使用者組配置Linux
- su - oracle報錯su: cannot set user id: Resource temporarily unavailableOracleAI
- [20170705]理解linux su命令.txtLinux
- linux學習之使用者的切換Linux
- 禁止su命令
- Linux 使用者和使用者組命令詳解Linux
- Kali Linux快速切換root使用者Linux
- Linux系統中使用者切換Linux
- su命令使用詳解(轉)
- suse linux 10_su - oracle報ulimit錯誤-cannot modify limit:LinuxOracleMIT
- elasticsearch啟動加一些linux切換使用者的命令ElasticsearchLinux
- oracle程式命令的6571(Linux Error: 13: Permission denied)OracleLinuxError
- Linux命令分享- 新建使用者和組命令Linux