隻允許特定的組使用者su切換到root

linux系統root具有至高無上的權限，工作生産環境或者VPS一般為了安全起見，禁止root登入，禁止root使用者權限，使用普通使用者登入，有特殊需求可以su或sudo切換到root權限進行操作，下面介紹一個方法隻允許特定的組使用者su切換到root：

1、建立普通使用者，比如baby

1

<code>useradd</code>  <code>baby</code>

2、修改密碼

<code>passwd</code> <code>baby</code>

3、将帳号加入wheel組

<code>usermod</code> <code>-G wheel baby</code>

4、設定隻允許這個組的帳号，使用su指令切換到root

vi /etc/pam.d/su

找到#auth            required        pam_wheel.so use_uid

去掉行首的注釋符 # 儲存退出;

接着vi /etc/login.defs

在最末添加SU_WHEEL_ONLY yes 儲存退出即可。

或者執行 

<code>echo</code> <code>"SU_WHEEL_ONLY yes"</code><code>&gt;&gt;</code><code>/etc/login</code><code>.defs</code>

現在，再建立新的普通帳号，是無法使用su指令切換到root組了。

實驗驗證：

2

3

4

5

6

7

8

9

10

11

12

13

<code>[root@localhost ~]</code><code># su - baby</code>

<code>[baby@localhost ~]$ </code><code>whoami</code>  

<code>baby</code>

<code>[baby@localhost ~]$ </code><code>su</code> <code>-</code>

<code>Password:</code>

<code>[root@localhost ~]</code><code># whoami</code>

<code>root</code>

<code>[root@localhost ~]</code><code># su - anglea</code>

<code>[anglea@localhost ~]$ </code><code>whoami</code>

<code>anglea</code>

<code>[anglea@localhost ~]$ </code><code>su</code> <code>-</code>

<code>su</code><code>: incorrect password</code>

baby屬于wheel組，wheel組的使用者隻允許su切換到root；anglea不屬于wheel組，正确輸入root的密碼也提示不正确的密碼，無法切換到root；

本文轉自 模範生 51CTO部落格，原文連結：http://blog.51cto.com/mofansheng/1687923，如需轉載請自行聯系原作者