Linux禁止非WHEEL使用者使用SU命令

2021-09-07 10:50:58 字數 2543 閱讀 2856

通常情況下,一般使用者通過執行「su -」命令、輸入正確的rootpassword。能夠登入為root使用者來對系統進行管理員級別的配置。

可是。為了更進一步加強系統的安全性,有必要建立乙個管理員的 組,僅僅同意這個組的使用者來執行「su -」命令登入為root使用者。而讓其它組的使用者即使執行「su -」、輸入了正確的rootpassword,也無法登入為root使用者。在unix和linux下。這個組的名稱通常為「wheel」。

一、禁止非whell組使用者切換到root

1、 改動/etc/pam.d/su配置

[root@db01 ~]# vi /etc/pam.d/su ← 開啟這個配置檔案


#auth required /lib/security/$isa/pam_wheel.so use_uid      ← 找到此行,去掉行首的「#」

2、 改動/etc/login.defs檔案

[root@db01 ~]# echo 「su_wheel_only yes」 >> /etc/login.defs ← 加入語句到行末以上操作完畢後,能夠再建立乙個新使用者。然後用這個新建的使用者測試會發現,沒有加入到wheel組的使用者,執行「su -」命令。即使輸入了正確的rootpassword,也無法登入為root使用者

3、 加入乙個使用者woo,測試能否夠切換到root

[root@db01 ~]# useradd woo


[root@db01 ~]# passwd woo


changing password for user woo.


new unix password: 


bad password: it is way too short


retype new unix password: 


passwd: all authentication tokens updated successfull
4、通過woo使用者登入嘗試切換到root    

[woo@db01 ~]$ su - root           ← 即使密碼輸入正確也無法切換


password: 


su: incorrect password


[woo@db01 ~]$
5: 把root使用者增加wheel組再嘗試切換,能夠切換

[root@db01 ~]# usermod -g wheel woo    ← 將普通使用者woo加在管理員組wheel組中


[root@db01 ~]# su - woo


[woo@db01 ~]$ su - root           ←  這時候我們看到是能夠切換了   


password: 


[root@db01 ~]#
二、加入使用者到管理員,禁止普通使用者su到root

6、加入使用者,並加入管理員組。禁止普通使用者su到root。以配合之後安裝openssh/openssl提公升遠端管理安全

[root@db01 ~]# useradd admin


[root@db01 ~]# passwd admin


changing password for user admin.


new unix password: 


bad password: it is too short


retype new unix password: 


passwd: all authentication tokens updated successfully.


[root@db01 ~]# usermod -g wheel admin   (usermod -g wheel admin 或 usermod -g10 admin(10是wheel組的id號))


[root@db01 ~]# su - admin


[admin@db01 ~]$ su - root


password: 


[root@db01 ~]#
[root@db01 ~]# vi /etc/pam.d/su


auth sufficient /lib/security/pam_rootok.so debug


auth required /lib/security/pam_wheel.so group=wheel
[root@db01 ~]# vi /etc/pam.d/su


#redhat#auth required /lib/security/$isa/pam_wheel.so use_uid   ← 找到此行。去掉行首的「#」


#centos5#auth required pam_wheel.so use_uid   ← 找到此行,去掉行首的「#」
#儲存退出就可以**********==

[root@db01 ~]# echo "su_wheel_only yes" >> /etc/login.defs ← 加入語句到行末

(實際測試這步操作可省略)

Linux禁止非WHEEL使用者使用SU命令

通常情況下,一般使用者通過執行 su 命令 輸入正確的root密碼,可以登入為root使用者來對系統進行管理員級別的配置。但是,為了更進一步加強系統的安全性,有必要建立乙個管理員的 組,只允許這個組的使用者來執行 su 命令登入為root使用者,而讓其他組的使用者即使執行 su 輸入了正確的root...

Linux下Wheel使用者組介紹

昨天遇到乙個很奇怪的事情,有一台伺服器在使用su root命令切換到root賬號時,老是報密碼不正確。但是root密碼完全是正確的,而且可以使用賬號密碼直接ssh登入伺服器。很是納悶,如下所示 後面google搜尋了一些資料,然後測試 驗證後才弄明白了具體原因。在linux中為了更進一步加強系統的安...

Linux禁止使用者登入

我們在做系統維護的時候,希望個別使用者或者所有使用者不能登入系統,保證系統在維護期間正常執行。這個時候我們就要禁止使用者登入。1 禁止個別使用者登入。比如禁止lynn使用者登入。passwd l lynn 這就話的意思是鎖定lynn使用者,這樣該使用者就不能登入了。passwd u lynn 對鎖定...