运维那些事限制帐号使用su:
Linux(针对redhat版本)下,不同的帐号之间的切换可以使用su命令,默认的配置中su是任何帐号都可以使用的,出于安全的考虑,需要对使用su的帐号进行限制。
su对帐号的认证、授权使用的是pam,以便用户根据自己的需求对su的认证、授权进行单独的配置。配置文件是
/etc/pam.d/su
cat /etc/pam.d/su
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the “wheel” group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the “wheel” group.
#auth required pam_wheel.so use_uid
auth include system-auth
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session optional pam_xauth.so
配置文件的第四行的注释表明:第五行配置将要求只有属于wheel组的用才能使用su
在这里pam调用的是pam_wheel.so模块,use_uid作为参数
我们将第五行的注释去掉,然后测试
1.添加两个普通用户tom mary
2.gpasswd -a mary wheel 将mary添加到wheel组
3.登录mary tom 分别执行su – root
4.执行后,mary只要输入正确的root密码就可以su到root,而tom不论输入root的密码正确与否都是返回:su: incorrect password的提示(限制之后tom也不能su到普通用户)。
成功限制用户对su的使用。
无需密码su:
root帐号su到其他帐号无需任何口令,普通用户su到root或其他用户都需要输入口令。su中的pam配置文件允许受信任的用户在su切换时无需任何口令。
配置文件的第二行注释表明:第三行的配置会将属于wheel组的用户设置为可信任的。
在这里pam调用的是 pam_wheel.so 用trust use_uid作为参数
去掉第三行注释,然后测试
1.添加两个普通用户tom mary
2.gpasswd -a mary wheel 将mary添加到wheel组
3.登录mary tom 分别执行su – root
4.执行后,mary用户直接却换到root用户,没有输入口令的提示(su成其他普通用户一样不需要口令),tom用户出现了输入口令的提示。
成功设置无需密码su
命令备忘:
su 直接切换到root
su – 切换到root身份和root的主目录。
用户组的成员在/etc/group中查看,多个用户以逗号分隔
gpasswd -d user group 从grup组删除user成员
id user 查看user用户属于哪些组
