Linux禁止非WHEEL用户使用SU命令

限制非管理员su到root
最新推荐文章于 2025-07-14 12:27:26 发布
最新推荐文章于 2025-07-14 12:27:26 发布
阅读量2.7w 收藏 22
点赞数 6
CC 4.0 BY-SA版权
分类专栏: Linxu技术博文 技术博文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuweilong/article/details/39722875

        通常情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。

       但是,为了更进一步加强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“wheel”。

一、禁止非whell组用户切换到root
1、 修改/etc/pam.d/su配置

[root@db01 ~]# vi /etc/pam.d/su ← 打开这个配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid      ← 找到此行,去掉行首的“#”


2、 修改/etc/login.defs文件

[root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs ← 添加语句到行末以上操作完成后,可以再建立一个新用户,然后用这个新建的用户测试会发现,没有加入到wheel组的用户,执行“su -”命令,即使输入了正确的root密码,也无法登录为root用户


 

3、 添加一个用户woo,测试是否可以切换到root

[root@db01 ~]# useradd woo
[root@db01 ~]# passwd woo
Changing password for user woo.
New UNIX password: 
BAD PASSWORD: it is WAY too short
Retype new UNIX password: 
passwd: all authentication tokens updated successfull

 

4、通过woo用户登录尝试切换到root    

[woo@db01 ~]$ su - root           ← 即使密码输入正确也无法切换
Password: 
su: incorrect password
[woo@db01 ~]$

 

5: 把root用户加入wheel组再尝试切换,可以切换

[root@db01 ~]# usermod -G wheel woo    ← 将普通用户woo加在管理员组wheel组中
[root@db01 ~]# su - woo

[woo@db01 ~]$ su - root           ←  这时候我们看到是可以切换了   
Password: 
[root@db01 ~]#

 

二、添加用户到管理员,禁止普通用户su到root
6、添加用户,并加入管理员组,禁止普通用户su到root,以配合之后安装OpenSSH/OpenSSL提升远程管理安全

[root@db01 ~]# useradd admin
[root@db01 ~]# passwd admin
Changing password for user admin.
New UNIX password: 
BAD PASSWORD: it is too short
Retype new UNIX password: 
passwd: all authentication tokens updated successfully.


[root@db01 ~]# usermod -G wheel admin   (usermod -G wheel admin 或 usermod -G10 admin(10是wheel组的ID号))
[root@db01 ~]# su - admin
[admin@db01 ~]$ su - root
Password: 
[root@db01 ~]#

 

方法一:wheel组也可指定为其它组,编辑/etc/pam.d/su添加如下两行

[root@db01 ~]# vi /etc/pam.d/su
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

 

方法二:编辑/etc/pam.d/su将如下行#符号去掉

[root@db01 ~]# vi /etc/pam.d/su
#RedHat#auth required /lib/security/$ISA/pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”
#CentOS5#auth required pam_wheel.so use_uid   ← 找到此行,去掉行首的“#”

 

#保存退出即可============

[root@db01 ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加语句到行末


 

 

(实际测试这步操作可省略)

linux root用su 切换到普通用户提示输入密码并报密码错误(Linux禁止WHEEL用户使用su命令
西京刀客
03-08 4404
root用su 切换到普通用户提示输入密码并报密码错误 问题背景: root用su 切换到普通用户提示输入密码并报密码错误 解决定位思路: 可以查看,下面文件报错信息 /var/log/secure /var/log/messages 用户认证与 /etc/pam.d/password-auth /etc/pam.d/sshd /etc/pam.d/su /etc/pam.d/sudo相关
Linux中如何禁止普通用户使用su命令
永远在学习Linux之路上
10-29 1577
使用bob用户验证一下。系统应返回如下错误消息 "Sorry, user bob is not allowed to execute '/bin/su - user01' as root on localhost.localdomain."还可以禁用用户组的 su 访问权限。若要切换到 root 帐户,用户必须具有 root 密码。在此示例中,用户正在切换到 root 帐户。默认情况下,所有用户都可以使用 su 命令。禁用普通用户su 访问权限,首先,备份以下。命令打开sudoers配置文件。
使用PAM认证模块禁止wheel组之外的用户su为root
lihaha60的博客
02-06 1148
auth sufficient pam_rootok.so 和。这表明只有wheel组的成员可以使用su命令成为root用户。2、再把想用su命令切换到root的的用户添加进组。1、创建wheel组。
Linux 普通用户禁用sudo su - 命令
tingting0119的博客
11-05 608
Linux系统禁止普通用户使用sudo 命令
掌握susudo:Linux权限切换与管理指南
最新发布
weixin_42499004的博客
07-14 729
Linux系统中,su命令是“switch user”的缩写,它允许用户切换至另一个用户身份。默认情况下,如果不指定用户名,su命令通常用于切换至root用户,从而执行管理员级别的命令su命令是通过直接读取另一个用户的登录shell来实现身份切换,这可能会带来一定的安全风险,因为它可能会加载不安全的环境变量或者安全设置。Linux操作系统中的sudo命令是一个强大的工具,允许普通用户以超级用户(root)的权限执行命令,同时提供了日志记录和权限控制等安全机制。
禁止linux普通用户使用命令,Linux禁止WHEEL用户使用SU命令
weixin_29079643的博客
05-08 916
通常情况下,一般用户通过运行“su -”命令、输入正确的rootpassword。能够登录为root用户来对系统进行管理员级别的配置。可是。为了更进一步加强系统的安全性,有必要建立一个管理员的 组,仅仅同意这个组的用户来运行“su -”命令登录为root用户。而让其它组的用户即使运行“su -”、输入了正确的rootpassword,也无法登录为root用户。在UNIX和Linux下。这个组的名称...
linux学习中-关于sudo与用户管理(以禁止用户使用su系列命令为例)
Bobanimememeem
09-23 809
用户用户组管理的文章: https://www.cnblogs.com/cisum/p/8005641.html   如何查看用户组相关信息: 关于etc的详细内容: https://blog.csdn.net/blueair_ren/article/details/79937599 最后用了这个教程: https://blog.csdn.net/wuweilong/art...
系统安全及应用
ver_mouth__的博客
04-07 6013
一:账号安全控制 1.1系统账号清理 将登录用户的shell设为/sbin/nologin 锁定长期不使用的账号 删除无用的账号 锁定账号文件passwd,shadow 锁定账号文件passwd无法创建新用户,可以修改已有用户的密码 锁定账号文件shadow无法创建新用户也不可以更改已有用户的密码 1.2密码安全控制 设置密码有效期 要求用户下次登录时修改密码 chage -M日期用户 【设置用户密码有效期】 chage -E xxxx...
Linux禁止普通用户su至root的解决方法
01-20
一、概述 为禁止普通用户su至root,需要分别...经过上述配置后,普通用户将被禁止su至root,如果希望指定普通用户su至root,可以执行如下命令将该用户添加至wheel组中: usermod -G wheel username 三、示例 [root@t
Linux禁止普通用户su至root怎么设置.doc.pdf
09-13
Linux 操作系统中,有一个常重要的安全设置,就是禁止普通用户使用 su 命令切换到 root 用户,这可以防止未经授权的访问和数据泄露。那么,如何禁止普通用户 su 至 root 呢?下面将详细介绍相关的设置步骤和知识点...
在/etc/pam.d/su下做免密登录
2201_76119904的博客
06-30 493
添加以上两条命令,可以使user1,user3都可以免密登录到user2。添加以上两条命令,可以使user1免密登录到user2。在 pam_rootok.so下添加如下信息。
Linux--- su命令使用进行限制设置
u014379204的博客
09-23 4007
su命令使用进行限制设置 说明:修改配置文件,限制只允许特定账户使用su命令(只允许wheel用户使用)。用su切换用户可以使用susu - ,二者的区别主要在于是否附加root账户的属性。 环境一、Redhat6、Redhat7系统中 在/etc/pam.d/su文件中增加 auth required pam_wheel.so use_uid 或: auth required pam_wheel.so group=wheel 将普通用户加入到wheel组: usermod -G wheel us
Linux进阶——系统安全,重要文件,加固系统的相关配置_安全加固需要配置的文件有如下几个(1)
2401_83947353的博客
05-01 429
修改/etc/pam.d/suauth required /lib/security/pam_wheel.so group=wheel #只允许wheel组的用户su到root#打开/ect/sudoers 文件ps –aef | grep syslog #确认syslog是否启用cat /etc/syslog.conf #查看日志相关配置,各日志文件存放位置。
用户密码重复使用限制策略
qq_44659804的博客
12-19 3503
linux 用户密码策略
linuxsu命令进不去,如何在Linux禁止任何人使用su命令成为root
weixin_42501892的博客
04-28 632
如何在Linux禁止任何人使用su命令成为rootRonny 2018年5月2日 暂无评论 阅读 4,371 次导读Linux以它的高效性和灵活性著称,Linux模块化的设计结构,使得它既能在价格昂贵的工作站上运行,也能够在廉价的PC机上实现全部的Unix特性,具有多任务、多用户的能力。Linux是在GNU公共许可权限下免费获得的,是一个符合POSIX标准的操作系统。下面介绍两种Linux...
Linux Apache MySQL安全配置
boydreaming的博客
12-22 184
一、Linux 2.6.18 CentOS 5.6 1、/etc/login.defs PASS_MAX_DAYS=90 PASS_MIN_LEN=8 UMASK 027 2、/etc/passwd 644 /etc/shadow 400 3、关闭ftp、telnet、cups等不必要服务 4、/etc/ssh/sshd_config PermitRootLog...
关于麒麟系统基线高风险项---使用PAM认证模块禁止wheel组之外的用户su为root
xd_12138的博客
11-13 867
请参考以下方案进行安全加固,亲测有效。
linux系统加固
weixin_30268071的博客
04-23 325
常规安全配置 重要目录和文件权限:合理配置重要目录和文件权限,增强安全性 检查方法:使用ls -l命令查看目录和文件的权限设置情况 加固方法:对于重要目录,建议执行类似操作 chmod -R 750 /etc/rc.d/init.d/* 这样除了root可读,写,执行这个目录下的脚本 umask值 操作目的:设置默认的umask值,增强安全性 检查方法:使用umask查看...
限制Linux的root用户只能通过su登录
04-25
<think>好的,我现在需要帮助用户解决如何配置Linux系统,使得root用户只能通过su命令登录的问题。根据用户提供的引用内容,我需要综合这些信息来找到正确的配置方法。 首先,用户提到想限制root只能通过su登录,这意味着禁止root直接通过SSH或其他方式远程登录。根据引用[1]和[4],通常的做法是修改SSH配置,禁止root远程登录。这可以通过编辑/etc/ssh/sshd_config文件,设置PermitRootLogin为no。这一步能阻止root直接使用SSH登录,但允许普通用户登录后使用susudo切换到root。 接下来,用户希望root只能通过su切换,但根据引用[2],wheel组的成员才能使用su切换到root。因此,需要确保只有特定的用户属于wheel组,并且配置pam的su模块来限制wheel组成员使用su。引用[2]提到,修改/etc/pam.d/su文件,取消auth required pam_wheel.so use_uid的注释,这样只有wheel组的用户才能su到root。 然后,关于sudo的配置,用户可能需要允许普通用户通过sudo执行su命令,但根据引用[1],可以将su命令添加到sudoers文件中,这样普通用户可以使用sudo su -来切换到root而无需root密码。不过,用户的需求是限制root只能通过su登录,所以可能需要配置sudoers文件,禁止普通用户直接使用sudo执行某些命令,或者限制su使用。 另外,引用[3]提到锁定用户和密码有效期,这可能不直接相关,但可以确保root账户的安全性,比如设置强密码和定期更换。引用[4]提到修改/etc/sudoers文件,如果用户不在sudoers中,无法使用sudo,因此需要将允许的用户添加到sudoers或wheel组中。 综合这些步骤,正确的配置应该是:1. 禁止root远程登录SSH;2. 配置su仅允许wheel组成员使用;3. 配置sudoers允许特定用户通过sudo su切换到root,而不需要密码;4. 验证配置,确保普通用户无法直接SSH登录root,但可以通过su切换。 需要注意的可能问题包括:正确设置wheel组的用户,避免权限配置错误导致无法切换,以及确保SSH服务重启后配置生效。此外,需检查pam配置是否正确,避免系统认证问题。</think>根据您的要求,结合Linux系统权限管理机制,我们将通过以下步骤实现「限制root用户只能通过su登录」的目标: --- ### 解决方案步骤分解 #### 一、禁止root直接登录(SSH/TTY) ```bash # 修改SSH配置文件(引用[1][4]) sudo vim /etc/ssh/sshd_config ``` 找到并修改以下参数: ```ini PermitRootLogin no # 禁止root通过SSH登录 AllowUsers your_admin_user # 只允许指定用户登录 ``` ```bash # 禁止root通过本地终端登录(引用[3]) sudo vim /etc/securetty ``` 删除或注释所有包含`tty`的行(仅保留空终端): ```ini # tty1 # tty2 ``` #### 二、配置su命令访问控制 ```bash # 启用wheel组限制(引用[2][3]) sudo vim /etc/pam.d/su ``` 取消以下行的注释: ```ini auth required pam_wheel.so use_uid ``` ```bash # 创建wheel组并添加授权用户(引用[2]) sudo groupadd wheel 2>/dev/null sudo usermod -aG wheel your_admin_user ``` #### 三、配置sudo权限(实现无密码切换) ```bash # 编辑sudoers文件(引用[1][4]) sudo visudo ``` 添加以下配置(实现your_admin_user无密码切换root): ```ini %wheel ALL=(ALL) NOPASSWD: /bin/su - ``` #### 四、验证配置 ```bash # 重启SSH服务 sudo systemctl restart sshd # 测试远程root登录(应失败) ssh root@localhost # 测试su切换流程(your_admin_user执行) sudo su - # 直接获取root权限 ``` --- ### 配置原理说明 | 配置模块 | 功能说明 | 引用依据 | |----------------|--------------------------------------------------------------------------|---------------------| | SSH服务限制 | 阻断root远程访问通道 | [^1][^4] | | securetty文件 | 控制root本地终端访问权限 | [^3] | | PAM wheel组 | 限制只有特定组成员能执行su命令 | [^2][^3] | | sudoers策略 | 授权普通用户无需密码即可调用su命令,实现安全提权 | [^1][^4] | --- ### 高级安全加固(可选) ```bash # 锁定root密码有效期(引用[3]) sudo chage -M 90 root # 设置grub引导密码(引用[3]) sudo grub2-setpassword # 监控su使用记录 sudo auditctl -w /bin/su -p x -k su_activity ``` --- ### 关键注意事项 1. **备用管理员账户** 必须至少保留一个具有sudo权限的普通用户,避免系统锁定 2. **会话超时保护** 建议在`/etc/profile`添加: ```bash TMOUT=300 # 5分钟无操作自动注销 ``` 3. **日志审计配置** 启用syslog记录su操作: ```bash sudo vim /etc/rsyslog.conf auth.* /var/log/secure ``` --- ### 相关问题 1. 如何批量管理多台服务器的su权限配置? 2. 当wheel组成员离职时,如何快速撤销其权限? 3. 如何检测授权用户尝试切换root的行为? 4. 在容器环境中是否需要调整该安全策略? [^1]: Linux权限提升控制方法 [^2]: PAM wheel组认证机制 [^3]: Linux系统安全基线标准 : sudoers策略配置规范
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值