配置:限制帐号使用su与无需密码su

限制帐号使用su:

Linux(针对redhat版本)下,不同的帐号之间的切换可以使用su命令,默认的配置中su是任何帐号都可以使用的,出于安全的考虑,需要对使用su的帐号进行限制。

su对帐号的认证、授权使用的是pam,以便用户根据自己的需求对su的认证、授权进行单独的配置。配置文件是

/etc/pam.d/su

cat /etc/pam.d/su

auth            sufficient      pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth            sufficient      pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

#auth           required        pam_wheel.so use_uid

auth            include         system-auth

account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet

account         include         system-auth

password        include         system-auth

session         include         system-auth

session         optional        pam_xauth.so

配置文件的第四行的注释表明:第五行配置将要求只有属于wheel组的用才能使用su

在这里pam调用的是pam_wheel.so模块,use_uid作为参数

我们将第五行的注释去掉,然后测试

1.添加两个普通用户tom mary

2.gpasswd -a mary wheel 将mary添加到wheel组

3.登录mary tom 分别执行su - root

4.执行后,mary只要输入正确的root密码就可以su到root,而tom不论输入root的密码正确与否都是返回:su: incorrect password的提示(限制之后tom也不能su到普通用户)。

成功限制用户对su的使用。

无需密码su:

root帐号su到其他帐号无需任何口令,普通用户su到root或其他用户都需要输入口令。su中的pam配置文件允许受信任的用户在su切换时无需任何口令。

配置文件的第二行注释表明:第三行的配置会将属于wheel组的用户设置为可信任的。

在这里pam调用的是 pam_wheel.so 用trust use_uid作为参数

去掉第三行注释,然后测试

1.添加两个普通用户tom mary

2.gpasswd -a mary wheel 将mary添加到wheel组

3.登录mary tom 分别执行su - root

4.执行后,mary用户直接却换到root用户,没有输入口令的提示(su成其他普通用户一样不需要口令),tom用户出现了输入口令的提示。

成功设置无需密码su

命令备忘:

su 直接切换到root

su - 切换到root身份和root的主目录。

用户组的成员在/etc/group中查看,多个用户以逗号分隔

gpasswd -d user group 从grup组删除user成员

id user 查看user用户属于哪些组

时间: 2024-10-08 22:38:59

配置:限制帐号使用su与无需密码su的相关文章

批量创建10个系统帐号oldboy01-oldboy10并设置密码(密码为随机8位字符串)。

#!/bin/sh####create user by Dan Chen 2018-8-18##########[ -f /etc/init.d/functions ] && source /etc/init.d/functions[ $UID -ne 0 ] && {action "current user is not root,permision deny!" /bin/falseexit 1 } P=/oldboy/passlist.txt $P

GitHub学习心得之 安装配置与多帐号管理

1.前言2.GitHub Linux安装(ubuntu)3.帐号1配置4.帐号2配置5.本地管理 一.前言 本篇博文记录了GitHub的安装配置与多帐号管理. 本文内容基于以下文章:http://www.runoob.com/w3cnote/git-guide.html (Github 简明教程)http://m.blog.csdn.net/article/details?id=41824339 (如何在同一台电脑上使用两个github账户)http://www.tuicool.com/arti

GitLab11.3.9 使用 Crowd3.3.2 的帐号实现 SSO 单点登录,以及GitLab配置腾讯企业邮箱

GitLab11.3.9 的安装方法: 点击查看. ??Crowd3.3.2 的安装方法:点击查看. ??需要先在 Crowd 创建应用程序,参考 <Docker 创建 Crowd3.3.2 以及打通 Jira Software7.12.3和Confluence6.12.2 SSO 单点登录> 中的 4.12章节,在 Application type 选择 Generic Application, Description 输入Gitlab Applicaton, Name 输入 gitlab,

shell脚本,批量创建10个系统帐号并设置密码为随机8位字符串。

[[email protected] wyb]# cat user10.sh #!/bin/bash #批量创建10个系统帐号wangyb01-wangyb10并设置密码(密码为随机8位字符串). >user.list for user in `seq -w 10` do useradd wangyb$user password=`echo $RANDOM|md5sum|cut -c 1-8` echo $password|passwd wangyb$user --stdin echo wang

【mfc】利用文件的读写,theApp全局变量来现实登录帐号管理系统

本文亦是在<[mfc]用对话框的切换实现重新登录>(点击打开链接)的进一步工作,也是对其的进一步改进,上次的登录只是在判断用户输入的用户名与密码是否为admin与123,这次则利用文件的读写实现用户帐号的创建.删除与修改,不再拘泥与admin与123这个帐号,用户可以创建很多帐号,并且赋予其是否有修改帐号的权限,同时,利用theApp全局变量,用户一旦成功,其登录信息则会一直被记录,类似与网页中的Session.虽然现在VC6中的mfc已经过时了,但是仍然具有研究意义,毕竟XP曾经是一个无法超

第六章 用户帐号和组管理

第六章 用户帐号和组管理 第一节 用户分类 超级用户 root:x:0:0:root:/root:/bin/bash root x 0 0 root /root /bin/bash 用户名为root x表示有密码 用户ID 组ID 与用户相关的注释 用户主目录 登录系统后执行的第一个程序 普通用户 thomas:x:1000:1000:thomas:/home/thomas:/bin/bash thomas x 1000 1000 thomas /home/thomas /bin/bash 用户

Linux学习笔记---用户管理---帐号管理

root管理 (1)新增用户:useradd -u 指定UID -g 指定GID -G 作为组员添加到某个组 -M 不创建主用户目录 -m 创建主用户目录 -c 用户信息说明列 -d 指定某个目录为主用户目录 -r 创建系统帐号 -s 指定shell -e 帐号失效日 -f 0指密码立即失效,-1指永不失效 (2)useradd的默认值参考文件:/etc/default/useradd (3)UID/GID和密码参数参考文件:/etc/login.defs (3)修改密码:passwd (4)密

批量创建10个系统帐号o01-zkg10并设置密码

批量创建10个系统帐号o01-zkg10并设置密码(密码为随机8位字符串)脚本如下: #!/bin/sh#批量创建用户名和密码#by zkg 2019-08-22. /etc/init.d/functions if [ $UID -ne 0 ];thenecho "create user need root privage"exitfi for user in echo zkg{01..10}docheck_user=grep "\b$user\b" /etc/pa

关于域帐号经常被锁定的原因之一

最近刚改了自己的域管理员密码,然后一天之中会有几次被锁帐号,因为我把密码曾经给过别的同事用过(原则不可以,但是特殊情况下没有办法),我原来以为是他们不知道我改密码,用我的旧密码给我锁定的呢,后来发现不是这种情况.还有一种情况是IE浏览器缓存了一个旧密码,在访问一些网站时造成的,我就把IE的缓存全部给清了,也没有解决问题 然后一个偶然的机会,我发现了是我的一个远程管理工具造成的.我用mRemote,然后把好多服务器的连接方式都保存在这里,这些连接里都会让保存用户名和密码.当我使用完成这个工具后,我