Linuxシステムの下で非WHEELユーザーがSU命命を使用することを禁止する2つの実現方法
通常、一般ユーザーは「su-」コマンドを実行し、正しいrootパスワードを入力することで、rootユーザーとしてログインしてシステムの管理者レベルの構成を行うことができます。
しかし、システムのセキュリティをさらに強化するためには、このグループのユーザのみが「su-」コマンドを実行してrootユーザにログインすることを許可し、他のグループのユーザが「su-」を実行して正しいrootパスワードを入力してもrootユーザにログインできないようにする管理者のグループを構築する必要がある。UNIXとLinuxでは、このグループの名前は通常「wheel」です。
一、非whellグループユーザーのrootへの切り替えを禁止する1、修正/etc/pam.d/su構成
コードのコピー [root@db01 ~]# vi /etc/pam.d/su←このプロファイルを開く
#auth required /lib/security/$ISA/pam_wheel.so use_uid←この行を見つけて、行頭の「#」を取り除く
2、修正/etc/login.defsファイルコードのコピー
[root@db01 ~]# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs←行末に文を追加する以上の操作が完了したら、もう一人の新しいユーザーを確立することができ、この新しいユーザーテストでwheelグループに参加していないユーザーが発見され、「su-」コマンドを実行し、正しいrootパスワードを入力してもrootユーザーにログインできません
3、ユーザーwooを追加し、rootに切り替えることができるかどうかをテストするコードのコピー
[root@db01 ~]# useradd woo
[root@db01 ~]# passwd woo Changing password for user woo.
New UNIX password:
BAD PASSWORD: it is WAY too short Retype new UNIX password:
passwd: all authentication tokens updated successfull
[woo@db01~]$su-root←パスワード入力が正しくても切り替えられません
Password:
4、wooユーザー登録でrootに切り替えてみる
コードのコピー
su: incorrect password
[woo@db01 ~]$
5:rootユーザーをwheelグループに加入してから切り替えを試み、切り替えることができる
コードのコピー
[root@db01~]#usermod-G wheel woo←管理者グループwheelグループに一般ユーザーwooを追加
[root@db01 ~]# su - woo
[woo@db01~]$su-root←この時切り替えられるのを見ました
Password: