禁止linux普通用户使用命令,Linux禁止非WHEEL用户使用SU命令

Dear 丶 2023-01-21 06:20 386阅读 0赞

通常情况下，一般用户通过运行“su -”命令、输入正确的rootpassword。能够登录为root用户来对系统进行管理员级别的配置。

可是。为了更进一步加强系统的安全性，有必要建立一个管理员的 组，仅仅同意这个组的用户来运行“su -”命令登录为root用户。而让其它组的用户即使运行“su -”、输入了正确的rootpassword，也无法登录为root用户。在UNIX和Linux下。这个组的名称通常为“wheel”。

一、禁止非whell组用户切换到root

1、 改动/etc/pam.d/su配置

\[root@db01 ~\]\# vi /etc/pam.d/su ← 打开这个配置文件

\#auth required /lib/security/$ISA/pam\_wheel.so use\_uid ← 找到此行，去掉行首的“\#”

2、 改动/etc/login.defs文件

\[root@db01 ~\]\# echo “SU\_WHEEL\_ONLY yes” >> /etc/login.defs　← 加入语句到行末以上操作完毕后，能够再建立一个新用户。然后用这个新建的用户測试会发现，没有加入到wheel组的用户，运行“su -”命令。即使输入了正确的rootpassword，也无法登录为root用户

3、 加入一个用户woo，測试能否够切换到root

\[root@db01 ~\]\# useradd woo

\[root@db01 ~\]\# passwd woo

Changing password for user woo.

New UNIX password:

BAD PASSWORD: it is WAY too short

Retype new UNIX password:

passwd: all authentication tokens updated successfull

4、通过woo用户登录尝试切换到root

\[woo@db01 ~\]$ su - root ← 即使密码输入正确也无法切换

Password:

su: incorrect password

\[woo@db01 ~\]$

5: 把root用户增加wheel组再尝试切换,能够切换

\[root@db01 ~\]\# usermod -G wheel woo ← 将普通用户woo加在管理员组wheel组中

\[root@db01 ~\]\# su - woo

\[woo@db01 ~\]$ su - root ← 这时候我们看到是能够切换了

Password:

\[root@db01 ~\]\#

二、加入用户到管理员，禁止普通用户su到root

6、加入用户，并加入管理员组。禁止普通用户su到root。以配合之后安装OpenSSH/OpenSSL提升远程管理安全

\[root@db01 ~\]\# useradd admin

\[root@db01 ~\]\# passwd admin

Changing password for user admin.

New UNIX password:

BAD PASSWORD: it is too short

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

\[root@db01 ~\]\# usermod -G wheel admin (usermod -G wheel admin 或 usermod -G10 admin(10是wheel组的ID号))

\[root@db01 ~\]\# su - admin

\[admin@db01 ~\]$ su - root

Password:

\[root@db01 ~\]\#

方法一：wheel组也可指定为其他组。编辑/etc/pam.d/su加入例如以下两行

\[root@db01 ~\]\# vi /etc/pam.d/su

auth sufficient /lib/security/pam\_rootok.so debug

auth required /lib/security/pam\_wheel.so group=wheel

方法二：编辑/etc/pam.d/su将例如以下行\#符号去掉

\[root@db01 ~\]\# vi /etc/pam.d/su

\#RedHat\#auth required /lib/security/$ISA/pam\_wheel.so use\_uid 　 ← 找到此行。去掉行首的“\#”

\#CentOS5\#auth required pam\_wheel.so use\_uid 　 ← 找到此行，去掉行首的“\#”

\#保存退出就可以============

\[root@db01 ~\]\# echo "SU\_WHEEL\_ONLY yes" >> /etc/login.defs　← 加入语句到行末

(实际測试这步操作可省略)

发表评论取消回复

表情：

评论列表（有 0 条评论，386人围观）

还没有评论，来说两句吧...

相关阅读

相关 Linux开放普通用户使用winscp上传文件和禁止root用户登录

鉴于使用root用户操作系统有诸多风险，也给网络黑客暴力破解服务器密码可乘之机，于是决定禁用root用户远程登录系统，可是禁用root用户登录系统也带来一个问题，那就是root

喜欢ヅ旅行/ 2024年02月19日 21:50/ 0 赞/ 50 阅读

相关 Linux 用户管理命令id、su

id命令 > 功能：查看一个用户的UID和GID用法：id \[选项\]... \[用户名\] > > ![20200124145731443.png][] > >

骑猪看日落/ 2023年10月07日 08:37/ 0 赞/ 3 阅读

相关禁止linux普通用户使用命令,Linux禁止非WHEEL用户使用SU命令

通常情况下，一般用户通过运行“su -”命令、输入正确的rootpassword。能够登录为root用户来对系统进行管理员级别的配置。可是。为了更进一步加强系统的安全性，有

Dear 丶/ 2023年01月21日 06:20/ 0 赞/ 387 阅读

相关关于Linux grub加密禁止非密码用户进入单用户模式

运行环境：Ubuntu 14.04.3 简单说一下怎么设置Grub加密吧！首先来说一下，需要我们修改的一些文件 1./etc/grub.d目录此目录放置档案，会在

浅浅的花香味﹌/ 2022年09月24日 04:23/ 0 赞/ 330 阅读

相关 linux 普通用户添加ssh或禁止ssh

1、添加用户，首先用adduser命令添加一个普通用户，命令如下： adduser tommy //添加一个名为tommy的用户 passwd to

桃扇骨/ 2022年08月04日 09:20/ 0 赞/ 427 阅读

相关 LINUX管理用户登录权限，禁止用户登录

命令方式要修改一个已经存在的用户，执行这个命令： usermod -s /sbin/nologin 对新用户，可以使用这个命令： useradd -s /s

超、凢脫俗/ 2022年01月30日 01:04/ 0 赞/ 367 阅读

相关 linux禁止root用户登录，并开启普通用户sudo权限

有些特殊的情况我们需要禁止root在本地或远程使用ssh登录，以增加安全性。 1.修改/etc/pam.d/login文件增加下面一行

缺乏、安全感/ 2022年01月09日 17:15/ 0 赞/ 583 阅读

相关 LINUX管理用户登录权限，禁止用户登录

命令方式要修改一个已经存在的用户，执行这个命令： usermod -s /sbin/nologin 对新用户，可以使用这个命令： useradd -s /s

怼烎@/ 2021年10月19日 06:22/ 0 赞/ 515 阅读

相关 linux 禁止普通用户su到root

1.修改 /etc/pam.d/su 文件保证以下两行存在，且没注释掉 auth sufficient pam_rootok.so auth r

爱被打了一巴掌/ 2021年08月28日 13:31/ 0 赞/ 553 阅读

相关 Linux禁止用户登录

我们在做系统维护的时候，希望个别用户或者所有用户不能登录系统，保证系统在维护期间正常运行。这个时候我们就要禁止用户登录。 1、禁止个别用户登录。比如禁止lynn用户登录。

逃离我推掉我的手/ 2021年06月24日 14:00/ 0 赞/ 578 阅读