默认情况下,Linux的普通用户可以su - 或 su - root,切换到root用户。为了提高安全性,可以控制部分用户切换root,其他用户无此权限。策略是,把用户加入到wheel用户组里,组外用户不能su到root用户。
Linux默认带有wheel用户组,无需创建。只需要修改配置文件,使该策略生效。过程如下:1、# usermod -G wheel UserName把UserName加入wheel用户组 2、# vi /etc/pam.d/su找到下面一行,把行首的注释“#”去掉,使之生效。即为:auth required pam_wheel.so use_uid 3、配置/etc/login.defs文件
# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
OK,到此就完成了wheel策略的设置。新建一个普通用户测试发现,无法su - root,提示password incorrect。
到这一步为止,只是禁止普通用户su到root用户。如果想进一步拥有sudo使用权,则需要把该用户加入/etc/sudoers配置文件中。