linux系统为了限制权限,有时候需要禁止普通用户su到root用户

为禁止普通用户su至root,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件。

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

二、详细配置

(1)去除/etc/pam.d/su文件中如下行的注释:

#auth            required        pam_wheel.so use_uid

(2)在/etc/login.defs文件中加入如下配置项:

SU_WHEEL_ONLY yes

经过上述配置后,普通用户将被禁止su至root,如果希望指定普通用户su至root,可以执行如下命令将该用户添加至wheel组中:

usermod -G wheel username
或者
gpasswd -a username wheel

 

三、示例

[root@t1 ~]# id a1
uid=1001(a1) gid=1001(a1) groups=1001(a1),10(wheel)
[root@t1 ~]# id a2
uid=1002(a2) gid=1002(a2) groups=1002(a2)

验证

[a1@t1 ~]$ su - root
Password: 
Last login: Fri Apr 19 16:40:23 CST 2019 from 10.0.0.1 on pts/2
[root@t1 ~]# 

[a2@t1 ~]$ 
[a2@t1 ~]$ su - root
Password: 
su: Permission denied
[a2@t1 ~]$

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄