首页 > 代码库 > 配置:限制帐号使用su与无需密码su

配置:限制帐号使用su与无需密码su

限制帐号使用su:

    Linux(针对redhat版本)下,不同的帐号之间的切换可以使用su命令,默认的配置中su是任何帐号都可以使用的,出于安全的考虑,需要对使用su的帐号进行限制。

su对帐号的认证、授权使用的是pam,以便用户根据自己的需求对su的认证、授权进行单独的配置。配置文件是

/etc/pam.d/su


cat /etc/pam.d/su

auth            sufficient      pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth            sufficient      pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

#auth           required        pam_wheel.so use_uid

auth            include         system-auth

account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet

account         include         system-auth

password        include         system-auth

session         include         system-auth

session         optional        pam_xauth.so


配置文件的第四行的注释表明:第五行配置将要求只有属于wheel组的用才能使用su

在这里pam调用的是pam_wheel.so模块,use_uid作为参数

我们将第五行的注释去掉,然后测试

1.添加两个普通用户tom mary

2.gpasswd -a mary wheel 将mary添加到wheel组

3.登录mary tom 分别执行su - root

4.执行后,mary只要输入正确的root密码就可以su到root,而tom不论输入root的密码正确与否都是返回:su: incorrect password的提示(限制之后tom也不能su到普通用户)。

成功限制用户对su的使用。


无需密码su:

root帐号su到其他帐号无需任何口令,普通用户su到root或其他用户都需要输入口令。su中的pam配置文件允许受信任的用户在su切换时无需任何口令。


配置文件的第二行注释表明:第三行的配置会将属于wheel组的用户设置为可信任的。

在这里pam调用的是 pam_wheel.so 用trust use_uid作为参数

去掉第三行注释,然后测试

1.添加两个普通用户tom mary

2.gpasswd -a mary wheel 将mary添加到wheel组

3.登录mary tom 分别执行su - root

4.执行后,mary用户直接却换到root用户,没有输入口令的提示(su成其他普通用户一样不需要口令),tom用户出现了输入口令的提示。

成功设置无需密码su




命令备忘:

su 直接切换到root

su - 切换到root身份和root的主目录。

用户组的成员在/etc/group中查看,多个用户以逗号分隔

gpasswd -d user group 从grup组删除user成员

id user 查看user用户属于哪些组


配置:限制帐号使用su与无需密码su