linux系統(tǒng)為了限制權(quán)限，有時(shí)候需要禁止普通用戶(hù)su到root用戶(hù)

為禁止普通用戶(hù)su至root，需要分別修改/etc/pam.d/su和/etc/login.defs兩個(gè)配置文件。

一、實(shí)驗(yàn)環(huán)境

[root@t2 pam.d]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) [root@t2 pam.d]# uname -a Linux t2 3.10.0-514.el7.x86_64 #1 SMP Tue Nov 22 16:42:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

其他的環(huán)境自行測(cè)試

二、詳細(xì)配置

(1)去除/etc/pam.d/su文件中如下行的注釋：

#auth? ? ? ? ? ? required? ? ? ? pam_wheel.so use_uid

(2)在/etc/login.defs文件中加入如下配置項(xiàng)：

SU_WHEEL_ONLY yes

經(jīng)過(guò)上述配置后，普通用戶(hù)將被禁止su至root，如果希望指定普通用戶(hù)su至root，可以執(zhí)行如下命令將該用戶(hù)添加至wheel組中：

usermod -G wheel username 或者 gpasswd -a username wheel

三、示例

[root@t1 ~]# id a1 uid=1001(a1) gid=1001(a1) groups=1001(a1),10(wheel) [root@t1 ~]# id a2 uid=1002(a2) gid=1002(a2) groups=1002(a2)

驗(yàn)證

[a1@t1 ~]$ su - root Password: Last login: Fri Apr 19 16:40:23 CST 2019 from 10.0.0.1 on pts/2 [root@t1 ~]# [a2@t1 ~]$ [a2@t1 ~]$ su - root Password: su: Permission denied

?

2019-07-02修改

?

以上方法可以實(shí)現(xiàn)我們的目的，還有一種方法，也可以實(shí)現(xiàn)，諸公如果有時(shí)間可以多研究一下linux系統(tǒng)的pam認(rèn)證

方法二：

修改? /etc/pam.d/su文件中如下行：

vim /etc/pam.d/su#auth　　　　required　　　　pam_wheel.so use_uid auth　　　　required　　　　/lib64/security/pam_wheel.so use_uid group=wheel
#路徑不加也是可以的，因?yàn)槲业沫h(huán)境是x86架構(gòu)的
auth　　　　required　　　　pam_wheel.so use_uid group=wheel

各位自行驗(yàn)證即可

?

轉(zhuǎn)載于:https://www.cnblogs.com/augusite/p/10736918.html

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專(zhuān)家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的Linux禁止普通用户su至root的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。