第 6 章 获取特权
系统管理员,在某些情况下,用户需要使用管理访问权限来执行某些任务。以 root 用户身份 访问系统具有潜在的危险性,可能会导致系统和数据出现广泛损坏。本章涵盖了使用 setuid 程序(如 su 和 sudo )获取管理权限的方法。这些程序允许特定用户执行通常仅对 root 用户可用的任务,同时保持更高级别的控制和系统安全性。
有关管理控制、潜在威胁和防止不当使用特权访问造成的数据丢失的更多信息,请参阅 Red Hat Enterprise Linux 7 安全指南。
6.1. 使用 su 实用程序配置管理访问权限
当用户执行 su 命令时,系统会提示他们输入 root 密码,并且在验证后,系统会获得 root shell 提示符。
使用 su 命令登录后,该用户 是 root 用户,对系统具有绝对管理访问权限。请注意,这种访问仍会受到 SELinux 实施的限制(如果已启用)。此外,用户一旦成为 root 用户,便可以使用 su 命令更改为系统上的任何其他用户,而无需提示输入密码。
由于该程序如此强大,组织内的管理员可能希望限制谁有权访问 命令。
执行此操作的一种最简单的方法是将用户添加到名为 wheel 的特殊管理组中。要做到这一点,以 root 用户身份输入以下命令:
~]# usermod -a -G wheel username
在上一命令中,将 username 替换为您要添加到 wheel 组 的用户名。
您还可以使用 Users 设置工具来 修改组成员资格,如下所示:请注意,您需要管理员特权来执行此步骤。
-
按 Super 键以进入活动概览,键入
Users,然后按 Enter 键。此时 会出现用户 设置工具。Super 键显示在各种 guis 中,具体取决于键盘和其他硬件,但通常作为 Windows 或 Command 键(通常在 空格栏 的左侧)。 - 要启用更改,请单击 按钮并输入有效的管理员密码。
- 单击左侧列中的用户图标,以显示用户在右侧窗格中的属性。
-
将帐户类型从
Standard更改为Administrator。这会将用户添加到wheel组。
有关 用户 工具的详情,请查看 第 4.2 节 “在图形环境中管理用户”。
将所需的用户添加到 wheel 组后,建议仅允许这些特定用户使用 su 命令。为此,请编辑 su、/etc/pam.d/su 的可插拔验证模块 (PAM)配置文件。在文本编辑器中打开此文件,并通过删除 # 字符取消注释下面这一行:
#auth required pam_wheel.so use_uid
这一更改意味着只有管理组 wheel 的成员可以使用 su 命令切换到其他用户。
