CentOS和Debian限制用户使用SU

发布时间：2012-03-09 07:18:00　来源: 亚狐科技YAHUHOST

CentOS设置：

如果不想一些人使用"su"命令成为root或切换到其他用户，那么在"/etc/pam.d/su"做一些修改就可以。这些可以提高系统的性。

在/etc/pam.d/su下添加这两行：

auth  sufficient   pam_rootok.so

auth required pam_wheel.so use_uid

仅允许wheel组的成员su成root

把允许可以使用su命令的用户加入wheel组，如test，test2；test是wheel组，而test2不属于wheel组的。

#usermod -G wheel test

进行以上设置后， 只有用户test使用su命令， 而test2却不可以，不能用su切换到其他用户。

PS：如果想自定义一个可以su的组，可以把auth required pam_wheel.so use_uid改为auth required pam_wheel.so group=组名

PS：

一些有趣的用户组：

如果 pam_wheel.so 不带任何 group= 参数，root group 就是 su默认的 wheel group。

adm group 可以阅读日志文件。

cdrom group 可在本地赋予一组用户访问 CD-ROM 驱动器的权限。

floppy group 可在本地赋予一组用户访问软盘驱动器的权限。

audio group 可在本地赋予一组用户访问声音设备的权限。

src group 拥有源代码以及 /usr/src 目录下的文件。它可以在本地赋予某个用户管理系统源代码的权限。

对于管理桌面或低级别的系统管理员，可设置他们为 staff 成员，该类成员可以在 /usr/local 下工作并且可以在 /home 下创建目录。

Debian设置：

安装好Debian后还不能使用sudo
如果没有安装sudo，则在root用户下apt-get install sudo

有些发行版的sudo提供了sudoedit，有的则提供了visudo，功能上基本是一样的。你也可以使用其他编辑器如vi进行编辑/etc/sudoers，但由于文件是只读的，请强制保存（如w!）或去除只读属性再保存。

查找

root ALL=(ALL) ALL

在下面加入

%adm ALL=(ALL) ALL

如果sudo时不想输入密码，可以把上句改成：

%adm ALL=(ALL) NOPASSWD: ALL

保存文件，然後执行

#gpasswd -a 用户名 adm

然後这个用户就可以用sudo了。  

为了日常使用安全，非必要时候不用root这个账户的习惯是非常重要的，可以用sudo这个来代替，这样不仅仅所有的配置文件都是当前用户的，连根目录也 是，但是最近发现，使用sudo也出现一个小问题。我们都知道linux下tab键的自动补全功能是非常强大的，可是我发现使用sudo以后，tab键就 变傻了。除了能补全路径以外，对命令完全没有作用，好在现在已经知道原因了。

       在.bashrc这个文件里需要设定一下。
# enable programmable completion features (you don't need to enable
# this, if it's already enabled in /etc/bash.bashrc and /etc/profiles
# sources /etc/bash.bashrc).
#if [ -f /etc/bash_completion ]; then
#         . /etc/bash_completion
#fi

        这是最后的几行，把最后面三行前面的#去掉，然后重新登陆就可以了~