限制能够su为root的用户

zhaoxu6679

1.4 限制能够su为root的用户

　　检查方法：

　　#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目

　　备份方法：#cp -p /etc/pam.d /etc/pam.d_bak

　　加固方法：

　　#vi /etc/pam.d/su

　　在头部添加：

　　auth required /lib/security/pam_wheel.so group=wheel

　　这样，只有wheel组的用户可以su到root

　　#usermod -G10 test 将test用户加入到wheel组

　　图3

　　风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;和管理员确认哪些用户需要su。

　　当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效

　　性。如果是因为PAM验证故障，而引起root也无法登录，只能使用single user或者rescue模式进行排错。