linux 禁止普通使用者su到root使用者

為了更進一步加強系統的安全性，有必要建立一個管理員的 組，只允許這個組的使用者來執行“su -”命令登入為root使用者，而讓其他組的使用者即使執行“su -”、輸入了正確的root密碼，也無法登入為root使用者。在UNIX和Linux下，這個組的名稱通常為“wheel”


禁止非whell組使用者切換到root
1、 修改/etc/pam.d/su配置                                                                
                                                                                                                                                          
[root@qdata-rac1 /root]# vi /etc/pam.d/su                                    
auth required pam_wheel.so group=wheel  --將auth改行沒有註釋掉普通使用者就沒辦法切換到root 
#auth required pam_wheel.so group=wheel --將#auth改行註釋掉普通使用者就可以切換到root




2、修改/etc/login.defs檔案


[root@qdata-rac1 /root]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs　← 新增語句到行末以上操作完成後，可以再建立一個新使用者，然後用這個新建的使用者測試會發現，沒有加入到wheel組的使用者，執行“su -”命令，即使輸入了正確的root密碼，也無法登入為root使用者
     
3、透過oracle使用者登入嘗試切換到root                                 
                                                                 
                                         
[oracle@qdata-rac1 /root]$ su - root     即使密碼輸入正確也無法切換  
Password:                                                        
su: incorrect password                                           




5: 把root使用者加入wheel組再嘗試切換,可以切換        


[root@qdata-rac1 ~]$ usermod -G wheel oracle   ← 將普通使用者woo加在管理員組wheel組中                                                                                                
[oracle@qdata-rac1 ~]#su - oracle                                                                            
[oracle@qdata-rac1 /root]$ su - root           ←  這時候我們看到是可以切換了              
Password: