Linux下禁止普通用户通过 sudo su - 或 su - root 切换到root用户

前提摘要：

前几天发现，建立普通用户并添加到sudoers 中后，发现可以使用 sudo su - 亦或是 sudo su  + 普通用户的密码切换到root用户上。

心想，那这不就是串权了吗？ 普通用户切换到root 上为所欲为？

 

解决：

网上搜出来的很多方法，都是说加那个什么 wheel 组的就行，不加的就不行。但那样仅仅只能禁止  su -  root 切换，并不能禁止通过 sudo su -进行切换。

 

步骤一：

修改/etc/pam.d/su配置  

#打开这个配置文件，找到如下行，并将行首”#”去掉，保存文件
 
auth required pam_wheel.so use_uid

 修改/etc/login.defs文件

vi /etc/login.defs 
#在文件末尾添加  SU_WHEEL_ONLY yes  保存文件

 步骤二：

vim /etc/sudoers     添加

## Allow root to run any commands anywhere 

mccok  ALL=(ALL)       ALL,!/bin/su

 

两个步骤做完，则可以实现标题所说目的。

如果只做了第一步，则还是可以通过 sudo su - 或 sudo su 切换到root

如果只做了第二步，则还是可以通过 su - root  切换到root

 

如果想要只允许某用户可以使用 su 切换到root 上。

则将该用户添加到wheel 组即可

usermod -g wheel mccok