如何在Linux中如何限制對su命令的訪問

導讀	本文透過限制 使用者對su 的訪問來向您展示提高Linux伺服器安全性的簡單技巧。

如果您已經向資料中心新增了Linux，或者您只是為您的業務使用了一臺Linux機器，那麼您需要確保它是儘可能安全的。當然，每個人都認為Linux是地球上最安全的平臺之一。或許可能真的安全，但是您還事需要做許多事情來進一步提高Linux的安全性。

一個技巧是限制對su 的訪問。透過使用su命令，使用者可以從一個使用者更改為另一個使用者(如果他們有另一個使用者的密碼)。為什麼這很重要?你可能有某些使用者管理員組中有完全訪問特定目錄(其中一些可能包含敏感資料)，並且不希望不在該組中的使用者能夠切換到使用者（透過使用su命令），然後獲得對該資訊的訪問許可權。

這個技巧可以在任何Linux發行版上完成，但我將在Ubuntu Server平臺上進行演示。 我們將建立一個新組，將使用者新增到該組，然後限制對該組su命令的訪問。

但是我們如何限制對su命令的訪問？ 這實際上非常簡單。 讓我演示給你看。

我們將首先在我們的伺服器（或桌面）上建立一個新組。 為此，請開啟終端視窗併發出命令：

sudo groupadd admin

您現在已將新組新增到系統中。 如果您發現管理組已存在，則可能必須建立具有不同名稱的組。

假設我們有使用者linuxidc.com，我們想將他新增到新組，以便他可以訪問su命令。 對此的命令是：

sudo usermod -a -G admin linuxidc.com

執行該命令後，使用者linuxidc.com將成為admin組的成員。

現在我們需要允許管理組中的那些人訪問su命令。 這可以使用單個命令完成。 返回終端視窗，發出以下命令：

sudo dpkg-statoverride --update --add root admin 4750 /bin/su

從終端視窗登入為使用者linuxidc.com。如果您試圖為該使用者使用su命令，那麼將允許使用該命令。為什麼?因為linuxidc是admin組的成員，admin組可以訪問su，但是如果你以另一個使用者的身份登入並嘗試使用su命令，會被拒絕，為什麼?因為只有admin組中的成員才能訪問su。

這就是限制在Linux中訪問su命令的全部內容。 雖然這不是您為了加強Linux安裝而需要採取的唯一步驟，但它肯定會阻止使用者訪問可以將其許可權提升到他們不應具有的級別的工具。

原文來自：