Linux下,允许普通用户通过su命令切换到root身份进行操作。
相对于直接使用root登录操作,这钟方法要安全些。但仍存在安全隐患。
缩小特权使用用户的范围,无疑是更安全的做法。
Linux提供了这样的设置。
编辑/etc/pam.d/su文件,找到如下这行:
auth required pam_wheel.so
在centos下,默认是注释状态。
如图,去掉注释,不添加任何参数,那么效果就是限制所有普通用户使用su命令切换到任何其他账户。
如图,root切换到allenle账户没问题。从allenle切换到allenle3则提示没有权限。
添加参数后可以实现更细粒度限制su命令。
添加组名,指定那些这个组的所有用户可以使用su。
按如下设置,allenle3组的所有用户可以是su切换为root身份。
auth required pam_wheel.so group=allenle3
如上图,allele3和allenle可以使用root。这两个用户都是allenle3组成员。
将allenle移除出allenle3组后,allenle就不能切换到root身份。
如果想禁止root使用su,那么注释掉一行即可。
#auth required pam_roodok.so
如果注释掉如下两行:
#auth required pam_roodok.so
#auth required pam_wheel.so
此时所有用户都可以使用su,但是root切换到其他账户需要输入密码。
