前提摘要:
前几天发现,建立普通用户并添加到sudoers 中后,发现可以使用 sudo su - 亦或是 sudo su + 普通用户的密码切换到root用户上。
心想,那这不就是串权了吗? 普通用户切换到root 上为所欲为?
解决:
网上搜出来的很多方法,都是说加那个什么 wheel 组的就行,不加的就不行。但那样仅仅只能禁止 su - root 切换,并不能禁止通过 sudo su -进行切换。
步骤一:
修改/etc/pam.d/su配置
#打开这个配置文件,找到如下行,并将行首”#”去掉,保存文件
auth required pam_wheel.so use_uid
修改/etc/login.defs文件
vi /etc/login.defs
#在文件末尾添加 SU_WHEEL_ONLY yes 保存文件
步骤二:
vim /etc/sudoers 添加
## Allow root to run any commands anywhere
kong ALL=(ALL) ALL,!/bin/su
两个步骤做完,则可以实现标题所说目的。
如果只做了第一步,则还是可以通过 sudo su - 或 sudo su 切换到root
如果只做了第二步,则还是可以通过 su - root 切换到root
如果想要只允许某用户可以使用 su 切换到root 上。
则将该用户添加到wheel 组即可
usermod -g wheel mccok