为了更进一步加强系统的安全性,有必要建立一个管理员的组,只允许这个组的用户来执行“苏——”命令登录为根用户,而让其他组的用户即使执行“苏——”,输入了正确的根密码,也无法登录为根用户。在UNIX和Linux下,这个组的名称通常为“轮”
禁止非车轮组用户切换到根
1、修改/etc/pam.d/苏配置,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
(root@qdata-rac1/根)# vi/etc/pam.d/su ,,,,,,,,,,,,,,,,,,
身份验证需要pam_wheel。所以组=wheel ——将身份验证改行没有注释掉普通用户就没办法切换到root
# auth pam_wheel要求。所以组=轮,将# auth改行注释掉普通用户就可以切换到根
2、修改/etc/login.defs文件
(root@qdata-rac1/根)#回声”SU_WHEEL_ONLY是”在祝辞/etc/login.defs←添加语句到行末以上操作完成后,可以再建立一个新用户,然后用这个新建的用户测试会发现,没有加入到车轮组的用户,执行“苏——”命令,即使输入了正确的根密码,也无法登录为根用户
,,,
3,通过甲骨文用户登录尝试切换到root ,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,
[oracle@qdata-rac1/根]su - root 美元;,,即使密码输入正确也无法切换,,
密码:,,,,,,,,,,,,,,,,,,,,,,,,,,,,
苏:不正确的password ,,,,,,,,,,,,,,,,,,,,,
5:把根用户加入车轮组再尝试切换,可以切换,,,,,
[root@qdata-rac1 ~]美元usermod - g轮oracle ,←将普通用户吸引加在管理员组车轮组中,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
[oracle@qdata-rac1 ~] # su - oracle ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
[oracle@qdata-rac1/根]su - root 美元;,,,,←大敌;这时候我们看到是可以切换了,,,,,,,,
密码:,,