Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 6 章 获取特权

系统管理员,在某些情况下,用户需要使用管理访问权限来执行某些任务。以 root 用户身份 访问系统具有潜在的危险性,可能会导致系统和数据出现广泛损坏。本章涵盖了使用 setuid 程序(如 susudo )获取管理权限的方法。这些程序允许特定用户执行通常仅对 root 用户可用的任务,同时保持更高级别的控制和系统安全性。

有关管理控制、潜在威胁和防止不当使用特权访问造成的数据丢失的更多信息,请参阅 Red Hat Enterprise Linux 7 安全指南

6.1. 使用 su 实用程序配置管理访问权限

当用户执行 su 命令时,系统会提示他们输入 root 密码,并且在验证后,系统会获得 root shell 提示符。

使用 su 命令登录后,该用户 root 用户,对系统具有绝对管理访问权限。请注意,这种访问仍会受到 SELinux 实施的限制(如果已启用)。此外,用户一旦成为 root 用户,便可以使用 su 命令更改为系统上的任何其他用户,而无需提示输入密码。

由于该程序如此强大,组织内的管理员可能希望限制谁有权访问 命令。

执行此操作的一种最简单的方法是将用户添加到名为 wheel 的特殊管理组中。要做到这一点,以 root 用户身份输入以下命令:

~]# usermod -a -G wheel username

在上一命令中,将 username 替换为您要添加到 wheel 组 的用户名。

您还可以使用 Users 设置工具来 修改组成员资格,如下所示:请注意,您需要管理员特权来执行此步骤。

  1. Super 键以进入活动概览,键入 Users,然后按 Enter 键。此时 会出现用户 设置工具。Super 键显示在各种 guis 中,具体取决于键盘和其他硬件,但通常作为 Windows 或 Command 键(通常在 空格栏 的左侧)。
  2. 要启用更改,请单击 Unlock 按钮并输入有效的管理员密码。
  3. 单击左侧列中的用户图标,以显示用户在右侧窗格中的属性。
  4. 将帐户类型从 Standard 更改为 Administrator。这会将用户添加到 wheel 组。

有关 用户 工具的详情,请查看 第 4.2 节 “在图形环境中管理用户”

将所需的用户添加到 wheel 组后,建议仅允许这些特定用户使用 su 命令。为此,请编辑 su/etc/pam.d/su 的可插拔验证模块 (PAM)配置文件。在文本编辑器中打开此文件,并通过删除 # 字符取消注释下面这一行:

#auth      required    pam_wheel.so use_uid

这一更改意味着只有管理组 wheel 的成员可以使用 su 命令切换到其他用户。