Linux禁止或允許普通用戶利用su切換至root
linux系統爲了限制權限,有時候需要禁止普通用戶su到root用戶, 首先先說明一下:
su #只是切換到root用戶, 不改變當前目錄;
su - #切換到root和改變目錄到/root
wheel組的介紹
在Linux中wheel組就類似於一個管理員的組。通常在LUNIX下,即使我們有系統管理員root的權限,也不推薦用root用戶登錄。一般情況下用普通用戶登錄就可以了,在需要root權限執行一些操作時,再su登錄成爲root用戶。但是,任何人只要知道了root的密碼,就都可以通過su命令來登錄爲root用戶--這無疑爲系統帶來了安全隱患。
所以,將普通用戶加入到wheel組,被加入的這個普通用戶就成了管理員組內的用戶,但如果不對一些相關的配置文件進行配置,這個管理員組內的用戶與普通用戶也沒什麼區別--就像警察下班後,沒有帶槍、穿這便衣和普通人(用戶)一樣,雖然他的的確確是警察。
根據應用的實例不同應用wheel組的方法也不同。這裏對於服務器來說,我們希望的是剝奪被加入到wheel組用戶以外的普通用戶通過su命令來登錄爲root的機會(只有屬於wheel組的用戶纔可以用su登錄爲root)。這樣就進一步增強了系統的安全性。具體步驟如下:
- 修改 /etc/pam.d/su 文件,找到“#auth required /lib/security/$ISA/pam_wheel.so use_uid ”這一行,將行首的“#”去掉。
- 修改 /etc/login.defs 文件,在最後一行增加“SU_WHEEL_ONLY yes”語句。
然後,用“usermod -G wheel 用戶名”將一個用戶添加到wheel組中。
usermod -G wheel 用戶名
用剛剛被添加到wheel組的用戶登錄,並執行su命令登錄爲root用戶。這時輸入了正確的root密碼可以正常的登錄爲root用戶。但是,如果換成一個不屬於wheel組的用戶時,執行了su命令後,即使輸入了正確的root密碼,也無法登錄爲root用戶。普通用戶登錄爲root用戶的權限被完全剝奪了。(會收到“密碼錯誤”的提示)。這樣無疑提高了系統的安全性。
以上步驟基於CentOS,並適用於Fedora Core和RHEL。接下來我們來操作驗證一下,具體的操作步驟如下:
一、實驗環境
[root@t2 pam.d]# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
[root@t2 pam.d]# uname -a
Linux t2 3.10.0-514.el7.x86_64 #1 SMP Tue Nov 22 16:42:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
其他的環境自行測試
二、詳細配置
(1)去除/etc/pam.d/su文件中如下行的註釋:
vi /etc/pam.d/su
(2)在/etc/login.defs文件中加入如下配置項:
vim /etc/login.defs
添加:
SU_WHEEL_ONLY yes
經過上述配置後,普通用戶將被禁止su至root,如果希望指定普通用戶su至root,可以執行如下命令將該用戶添加至wheel組中:
usermod -G wheel username
或者
gpasswd -a username wheel
三、示例
[root@t1 ~]# id a1
uid=1001(a1) gid=1001(a1) groups=1001(a1),10(wheel)
[root@t1 ~]# id a2
uid=1002(a2) gid=1002(a2) groups=1002(a2)
驗證
[a1@t1 ~]$ su - root
Password:
Last login: Fri Apr 19 16:40:23 CST 2019 from 10.0.0.1 on pts/2
[root@t1 ~]#
[a2@t1 ~]$
[a2@t1 ~]$ su - root
Password:
su: Permission denied
方法二:
修改 /etc/pam.d/su文件中如下行:
vim /etc/pam.d/su
#auth required pam_wheel.so use_uid
auth required /lib64/security/pam_wheel.so use_uid group=wheel
#路徑不加也是可以的,因爲我的環境是x86架構的
auth required pam_wheel.so use_uid group=wheel