本文系統環境:CentOS Linux release 7.7.1908 (Core)
一般來說,目前linux系統中的wheel組,默認情況是沒有使用到的、
如果要使用wheel組,讓其有具體的作用,需要結合/etc/pam.d/su文件配置
很多在Linux中為了更進一步加強系統的安全性,都有一個管理員的組,
只允許這個組的用戶來執行su - xxx (或者su xxx)命令切換用戶(不一定是切換到root),而這個組的名稱通常為"wheel"
是否讓這個wheel組有作用,是在配置文件/etc/pam.d/su里面配置的,如下:
auth required pam_wheel.so use_uid //表示禁止非wheel組用戶su切換到其他用戶
上面配置默認是#注釋了的,即任何用戶都可以使用su切換到其他用戶
不過有些生產環境,做了安全加固,是打開了上面的配置項的,那樣在su時,無論密碼是否正常、都會報 su: Permission denied:
如果是在6.X中,即使密碼輸入對了,也會報錯:su: incorrect password
解決方法:如果打開了上面的pam配置,只需要將user01加入到wheel組即可
gpasswd -a user01 wheel //user01用戶加入到wheel組后就可以正常使用su命令了
[root@5201351 ~]# groups user01 user01 : user01 wheel
其實在linux下,大都是配置了禁止root用戶ssh登錄的,一般情況下用普通用戶登錄,
在需要 root 權限執行一些操作時,再 su 登錄成為 root 用戶。
但是,任何人只要知道了 root 的密碼,就都可以通過 su 命令來登錄為 root 用戶,這無疑為系統帶來了安全隱患。
因此,通過 wheel組,再加上/etc/pam.d/su的配置,來限制哪些用戶可以su切換,還是很有必要的!
另外: 默認情況下,只有wheel組的成員,才能使用sudo命令(這個與上面的pam配置沒有關系,上面pam只影響su命令)
因為/etc/sudoers配置文件默認就有如下行,允許wheel組的成員,在任何主機上,以任何用戶,執行任何命令,不過需要輸入自己的密碼
## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL
注:上面的配置在6.x中默認是注釋了的!在7.x中才是默認打開的!
如果想執行sudo相關的命令,不輸入密碼,可以打開/etc/sudoers配置文件的如下注釋行即可!
# %wheel ALL=(ALL) NOPASSWD: ALL
尊重別人的勞動成果 轉載請務必注明出處:https://www.cnblogs.com/5201351/p/13059738.html