Linux限制用户使用特权-限制su

Linux下，允许普通用户通过su命令切换到root身份进行操作。

相对于直接使用root登录操作，这钟方法要安全些。但仍存在安全隐患。

缩小特权使用用户的范围，无疑是更安全的做法。

Linux提供了这样的设置。

编辑/etc/pam.d/su文件，找到如下这行：

auth   required      pam_wheel.so  

在centos下，默认是注释状态。

 如图，去掉注释，不添加任何参数，那么效果就是限制所有普通用户使用su命令切换到任何其他账户。

 如图，root切换到allenle账户没问题。从allenle切换到allenle3则提示没有权限。

添加参数后可以实现更细粒度限制su命令。

添加组名，指定那些这个组的所有用户可以使用su。

按如下设置，allenle3组的所有用户可以是su切换为root身份。

auth   required  pam_wheel.so  group=allenle3

如上图,allele3和allenle可以使用root。这两个用户都是allenle3组成员。

将allenle移除出allenle3组后，allenle就不能切换到root身份。

如果想禁止root使用su，那么注释掉一行即可。

#auth   required     pam_roodok.so

 如果注释掉如下两行：

#auth   required     pam_roodok.so

#auth   required     pam_wheel.so

此时所有用户都可以使用su，但是root切换到其他账户需要输入密码。