CentOS和Debian限制用户使用SU

CentOS设置:

如果不想一些人使用"su"命令成为root或切换到其他用户,那么在"/etc/pam.d/su"做一些修改就可以。这些可以提高系统的性。

在/etc/pam.d/su下添加这两行:

auth  sufficient   pam_rootok.so

auth required pam_wheel.so use_uid

仅允许wheel组的成员su成root

把允许可以使用su命令的用户加入wheel组,如test,test2;test是wheel组,而test2不属于wheel组的。

#usermod -G wheel test

进行以上设置后, 只有用户test使用su命令, 而test2却不可以,不能用su切换到其他用户。

PS:如果想自定义一个可以su的组,可以把auth required pam_wheel.so use_uid改为auth required pam_wheel.so group=组名

PS:

一些有趣的用户组:

如果 pam_wheel.so 不带任何 group= 参数,root group 就是 su默认的 wheel group。

adm group 可以阅读日志文件。

cdrom group 可在本地赋予一组用户访问 CD-ROM 驱动器的权限。

floppy group 可在本地赋予一组用户访问软盘驱动器的权限。

audio group 可在本地赋予一组用户访问声音设备的权限。

src group 拥有源代码以及 /usr/src 目录下的文件。它可以在本地赋予某个用户管理系统源代码的权限。

对于管理桌面或低级别的系统管理员,可设置他们为 staff 成员,该类成员可以在 /usr/local 下工作并且可以在 /home 下创建目录。

Debian设置:

安装好Debian后还不能使用sudo
如果没有安装sudo,则在root用户下apt-get install sudo

有些发行版的sudo提供了sudoedit,有的则提供了visudo,功能上基本是一样的。你也可以使用其他编辑器如vi进行编辑/etc/sudoers,但由于文件是只读的,请强制保存(如w!)或去除只读属性再保存。

查找

root ALL=(ALL) ALL

在下面加入

%adm ALL=(ALL) ALL

如果sudo时不想输入密码,可以把上句改成:

%adm ALL=(ALL) NOPASSWD: ALL

保存文件,然後执行

#gpasswd -a 用户名 adm

然後这个用户就可以用sudo了。  

 

为了日常使用安全,非必要时候不用root这个账户的习惯是非常重要的,可以用sudo这个来代替,这样不仅仅所有的配置文件都是当前用户的,连根目录也 是,但是最近发现,使用sudo也出现一个小问题。我们都知道linux下tab键的自动补全功能是非常强大的,可是我发现使用sudo以后,tab键就 变傻了。除了能补全路径以外,对命令完全没有作用,好在现在已经知道原因了。

       在.bashrc这个文件里需要设定一下。
# enable programmable completion features (you don't need to enable
# this, if it's already enabled in /etc/bash.bashrc and /etc/profiles
# sources /etc/bash.bashrc).
#if [ -f /etc/bash_completion ]; then
#         . /etc/bash_completion
#fi

        这是最后的几行,把最后面三行前面的#去掉,然后重新登陆就可以了~

 

 

你可能感兴趣的:(centos,职场,休闲)