关于Linux-操作系统-加固-限制普通用户可以使用-su-命令切换到其账号的-必须先加入到wheel组的限制

关于Linux用户中，有一条加固的策略，就是限制普通用户，必须要加入到wheel组，才能使用su命令切换登录到其他用户

配置的方法，可以通过编辑 /etc/pam.d/su 文件实现，如下，核心的一条配置就是：auth            required        pam_wheel.so use_uid

[root@qq-5201351 ~]# cat /etc/pam.d/su
#%PAM-1.0
auth            required        pam_env.so
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
[root@qq-5201351 ~]#

启用后，只有属于 wheel 用户组的成员才能使用 su 命令切换到其他用户

非 wheel 组成员尝试执行 su 时，即使输入了正确的目标用户密码，也会被拒绝并提示权限错误（如 su: Permission denied 或 Authentication failure）

通过限制特权切换的范围，避免任意用户通过 su 获取高权限账户（如 root），减少未授权访问的风险。是企业级安全加固的常见措施，符合最小权限原则。

参数 use_uid 的作用：指定模块检查当前有效用户 ID 是否属于 wheel 组，而非初始用户 ID。这确保了权限判断的实时性和准确性。

最后，如果将需授权的用户加入 wheel 组可以使用如下命令：

usermod -aG wheel <用户名>

此机制是 Linux 系统安全加固的关键环节，尤其适用于多用户环境下的权限管控。

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/19039493