Chinaunix首页 | 论坛 | 博客
  • 博客访问: 63613
  • 博文数量: 11
  • 博客积分: 639
  • 博客等级: 中士
  • 技术积分: 140
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-30 15:11
文章分类

全部博文(11)

文章存档

2011年(10)

2010年(1)

分类: LINUX

2011-09-08 21:24:02

限制帐号使用su:
    Linux(针对redhat版本)下,不同的帐号之间的切换可以使用su命令,默认的配置中su是任何帐号都可以使用的,出于安全的考虑,需要对使用su的帐号进行限制。
su对帐号的认证、授权使用的是pam,以便用户根据自己的需求对su的认证、授权进行单独的配置。配置文件是
/etc/pam.d/su

cat /etc/pam.d/su
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth            sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so

配置文件的第四行的注释表明:第五行配置将要求只有属于wheel组的用才能使用su
在这里pam调用的是pam_wheel.so模块,use_uid作为参数
我们将第五行的注释去掉,然后测试
1.添加两个普通用户tom mary
2.gpasswd -a mary wheel 将mary添加到wheel组
3.登录mary tom 分别执行su - root
4.执行后,mary只要输入正确的root密码就可以su到root,而tom不论输入root的密码正确与否都是返回:su: incorrect password的提示(限制之后tom也不能su到普通用户)。
成功限制用户对su的使用。

无需密码su:
root帐号su到其他帐号无需任何口令,普通用户su到root或其他用户都需要输入口令。su中的pam配置文件允许受信任的用户在su切换时无需任何口令。

配置文件的第二行注释表明:第三行的配置会将属于wheel组的用户设置为可信任的。
在这里pam调用的是 pam_wheel.so 用trust use_uid作为参数
去掉第三行注释,然后测试
1.添加两个普通用户tom mary
2.gpasswd -a mary wheel 将mary添加到wheel组
3.登录mary tom 分别执行su - root
4.执行后,mary用户直接却换到root用户,没有输入口令的提示(su成其他普通用户一样不需要口令),tom用户出现了输入口令的提示。
成功设置无需密码su



命令备忘:
su 直接切换到root
su - 切换到root身份和root的主目录。
用户组的成员在/etc/group中查看,多个用户以逗号分隔
gpasswd -d user group 从grup组删除user成员
id user 查看user用户属于哪些组


阅读(11721) | 评论(0) | 转发(2) |
给主人留下些什么吧!~~