su是switch user的缩写,为了从某个用户环境中切换到另一个用户环境中,比如说su – root是切换到root用户,并且使用root用户的环境变量,而su root是切换到root用户,但使用的是当前用户的环境变量,再多的就不再赘述.su的存在方便了用户,但是也有安全隐患,su的滥用可能导致安全隐患.本文主要体验利用PAM来限制su的行为测试环境:Ubuntu 10.10查看当前用户的情况在Ubuntu系统中,默认安装时第一个用户被添加到admin组,我安装ubuntu时的用户是freetstar,用id命令查看freetstar所在的用户组
┌┌(freetstar@freetstar-lap)┌(3657/pts/1)┌(01:02pm:06/09/11)┌-└┌(%:~)┌- iduid=1000(freetstar) gid=1000(freetstar) groups=1000(freetstar),4(adm),20(dialout),24(cdrom),29(audio),30(dip),46(plugdev),110(netdev),111(lpadmin),119(admin),122(sambashare),125(libvirtd)
第一步:测试正常情况下的su操作┌┌(freetstar@freetstar-lap)┌(3671/pts/8)┌(01:23pm:06/09/11)┌-└┌(%:/var/log)┌- sudo passwd rootEnter new UNIX password:Retype new UNIX password:passwd: password updated successfully#说明,首先利用sudo给root用户设置密码┌┌(freetstar@freetstar-lap)┌(3673/pts/8)┌(01:28pm:06/09/11)┌-└┌(%:/var/log)┌- su – rootPassword:┌┌(root@freetstar-lap)┌(23/pts/8)┌(01:28pm:06/09/11)┌-└┌(#:~)┌-#su到root用户┌(freetstar@freetstar-lap)┌(3674/pts/8)┌(01:31pm:06/09/11)┌-└┌(%:/var/log)┌- sudo tail -f auth.log……Jun 9 13:30:15 freetstar-lap su[15097]: Successful su for root by freetstarJun 9 13:30:15 freetstar-lap su[15097]: + /dev/pts/7 freetstar:rootJun 9 13:30:15 freetstar-lap su[15097]: pam_unix(su:session): session opened for user root by freetstar(uid=1000)#查看auth信息,显示freetstar这个用户su到root用户成功
第二步:修改认证模块,只是注释掉这两个认证模块sudo vim /etc/pam.d/su# auth required pam_wheel.so# auth sufficient pam_wheel.so trust第一行表示需要是wheel用户组的用户才可以执行su操作第二行表示su时不需要提供密码
保存退出,尝试登录root用户,
┌┌(freetstar@freetstar-lap)┌(3662/pts/7)┌(01:39pm:06/09/11)┌-└┌(%:~/Downloads)┌- su - rootPassword:su: Permission denied#提示被拒┌┌(freetstar@freetstar-lap)┌(3675/pts/8)┌(01:38pm:06/09/11)┌-└┌(%:/var/log)┌- sudo tail -f auth.log ……Jun 9 13:39:28 freetstar-lap su[15097]: pam_unix(su:session): session closed for user rootJun 9 13:39:32 freetstar-lap su[15407]: pam_authenticate: Permission deniedJun 9 13:39:32 freetstar-lap su[15407]: FAILED su for root by freetstarJun 9 13:39:32 freetstar-lap su[15407]: – /dev/pts/7 freetstar:root#提示失败
第三步:设置”wheel组”Wheel本来的意义是让只有在Wheel组中的用户才有权限去执行su命令,但在现在的Linux发行版中,几乎没有了Wheel这样一个组
基本上只有BSD发行版才默认启用Wheel组.关于Linux中的wheel,看Richard大神怎么说的:
here在这里不用太麻烦地去添加wheel组,再usermod的将当前用户添加到wheel组中.我们只需要重新修改认证模块的配置文件
sudo vim /etc/pam.d/suauth required pam_wheel.so group=adminauth sufficient pam_wheel.so trust#将默认的wheel组改成admin组,admin组即Ubuntu下的管理组
重新尝试su
┌┌(freetstar@freetstar-lap)┌(3687/pts/7)┌(01:50pm:06/09/11)┌-└┌(%:~/Downloads)┌- su - rootPassword:┌┌(root@freetstar-lap)┌(23/pts/7)┌(01:56pm:06/09/11)┌-└┌(#:~)┌-#成功了
auth.log就不再贴了,基本上和第一步的日志一样这里有一个小问题:root用户默认不再admin组里,所以为了让root用户也可以无障碍su,需要将root用户添加到admin组中
Tips:1 任何使用su成功与否的信息都会在日志中有记录2 谨慎修改,修改不当会造成无法开机进入系统三歩让 LibreOffice Writer 拥有精简外观Ubuntu Statanic Edition之绚丽的主题和图标相关资讯 Linux知识
- 时光总是太匆匆!Linux已经诞生23 (08/29/2014 14:12:03)
- Linux虚拟文件系统之文件打开(sys (02/14/2012 11:41:54)
- 2012 年 Linux 峰会时间表 (02/14/2012 06:47:27)
| - 报告称当前 Linux 人才抢手 高薪也 (02/15/2012 06:35:56)
- 解析企业为何选择Linux及其特别之 (02/14/2012 08:17:59)
- Linux禁用字符闪烁的方法 (11/02/2011 10:28:25)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站