0、说明
安装好centos系统,正常没做任何配置的情况下任何用户都可以使用su命令切换到root超级用户,这样很不安全。我们来做下策略,只让加入wheel组的用户能使用su命令来切换用户(没有加入wheel组的用户将不能使用su命令,使用su切换超级用户或其他任何普通用户都会被禁止)。
测试环境的系统版本为:CentOS-7-x86_64-Minimal
实现目标:创建两个用户imzcy和zhangsan。将imzcy用户添加到wheel组并开启认证,使得只有加入wheel组的imzcy用户可以使用su命令来切换用户,而zhangsan用户不能使用su命令来切换到任何用户
1、开始配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
#1.1、首先创建两个用户 [root@imzcy ~]# useradd zhangsan [root@imzcy ~]# useradd imzcy #1.2、确认用户信息 [root@imzcy ~]# id zhangsan uid=1001(zhangsan) gid=1001(zhangsan) 组=1001(zhangsan) [root@imzcy ~]# id imzcy uid=1002(imzcy) gid=1002(imzcy) 组=1002(imzcy) #1.3、将imzcy用户添加到wheel组,并确认配置 [root@imzcy ~]# usermod -G wheel imzcy [root@imzcy ~]# id imzcy uid=1002(imzcy) gid=1002(imzcy) 组=1002(imzcy),10(wheel) #1.4、编辑su配置文件,取消下面指定行之前的注释 [root@imzcy ~]# vi /etc/pam.d/su [root@imzcy ~]# grep required /etc/pam.d/su auth required pam_wheel.so use_uid [root@imzcy ~]# |
2、验证配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
#2.1、imzcy用户切换到root用户正常 [imzcy@imzcy ~]$ su - root 密码: 上一次登录:一 6月 25 19:15:02 CST 2018pts/0 上 [imzcy@imzcy ~]$ #2.2、imzcy用户切换到其他普通用户(zhangsan)正常 [imzcy@imzcy ~]$ su - zhangsan 密码: 上一次登录:一 6月 25 19:13:54 CST 2018从 192.168.43.225pts/0 上 [zhangsan@imzcy ~]$ #2.3、zhangsan用户切换到root用户权限拒绝 [zhangsan@imzcy ~]$ su - root 密码: su: 拒绝权限 [zhangsan@imzcy ~]$ #2.4、zhangsan用户切换到其他普通用户(imzcy)权限拒绝 [zhangsan@imzcy ~]$ su - imzcy 密码: su: 拒绝权限 [zhangsan@imzcy ~]$ |