su是switch user的缩写,为了从某个用户环境中切换到另一个用户环境中,比如说su – root是切换到root用户,并且使用root用户的环境变量,而su root是切换到root用户,但使用的是当前用户的环境变量,再多的就不再赘述.
su的存在方便了用户,但是也有安全隐患,su的滥用可能导致安全隐患.
本文主要体验利用PAM来限制su的行为
测试环境:Ubuntu 10.10
查看当前用户的情况
在Ubuntu系统中,默认安装时第一个用户被添加到admin组,我安装ubuntu时的用户是freetstar,用id命令查看freetstar所在的用户组
┌┌(freetstar@freetstar-lap)┌(3657/pts/1)┌(01:02pm:06/09/11)
┌-└┌(%:~)┌- id
uid=1000(freetstar) gid=1000(freetstar) groups=1000(freetstar),4(adm),20(dialout),24(cdrom),29(audio),30(dip),46(plugdev),110(netdev),111(lpadmin),119(admin),122(sambashare),125(libvirtd)
第一步:测试正常情况下的su操作
┌┌(freetstar@freetstar-lap)┌(3671/pts/8)┌(01:23pm:06/09/11)┌-
└┌(%:/var/log)┌- sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
#说明,首先利用sudo给root用户设置密码
┌┌(freetstar@freetstar-lap)┌(3673/pts/8)┌(01:28pm:06/09/11)┌-
└┌(%:/var/log)┌- su – root
Password:
┌┌(root@freetstar-lap)┌(23/pts/8)┌(01:28pm:06/09/11)┌-
└┌(#:~)┌-
#su到root用户
┌(freetstar@freetstar-lap)┌(3674/pts/8)┌(01:31pm:06/09/11)┌-
└┌(%:/var/log)┌- sudo tail -f auth.log
……
Jun 9 13:30:15 freetstar-lap su[15097]: Successful su for root by freetstar
Jun 9 13:30:15 freetstar-lap su[15097]: + /dev/pts/7 freetstar:root
Jun 9 13:30:15 freetstar-lap su[15097]: pam_unix(su:session): session opened for user root by freetstar(uid=1000)
#查看auth信息,显示freetstar这个用户su到root用户成功
第二步:修改认证模块,只是注释掉这两个认证模块
sudo vim /etc/pam.d/su
# auth required pam_wheel.so
# auth sufficient pam_wheel.so trust
第一行表示需要是wheel用户组的用户才可以执行su操作
第二行表示su时不需要提供密码
保存退出,尝试登录root用户,
┌┌(freetstar@freetstar-lap)┌(3662/pts/7)┌(01:39pm:06/09/11)┌-
└┌(%:~/Downloads)┌- su - root
Password:
su: Permission denied
#提示被拒
┌┌(freetstar@freetstar-lap)┌(3675/pts/8)┌(01:38pm:06/09/11)┌-
└┌(%:/var/log)┌- sudo tail -f auth.log
……
Jun 9 13:39:28 freetstar-lap su[15097]: pam_unix(su:session): session closed for user root
Jun 9 13:39:32 freetstar-lap su[15407]: pam_authenticate: Permission denied
Jun 9 13:39:32 freetstar-lap su[15407]: FAILED su for root by freetstar
Jun 9 13:39:32 freetstar-lap su[15407]: – /dev/pts/7 freetstar:root
#提示失败
第三步:设置”wheel组”
Wheel本来的意义是让只有在Wheel组中的用户才有权限去执行su命令,但在现在的Linux发行版中,几乎没有了Wheel这样一个组
基本上只有BSD发行版才默认启用Wheel组.关于Linux中的wheel,看Richard大神怎么说的:here
在这里不用太麻烦地去添加wheel组,再usermod的将当前用户添加到wheel组中.我们只
需要重新修改认证模块的配置文件
sudo vim /etc/pam.d/su
auth required pam_wheel.so group=admin
auth sufficient pam_wheel.so trust
#将默认的wheel组改成admin组,admin组即Ubuntu下的管理组
重新尝试su
┌┌(freetstar@freetstar-lap)┌(3687/pts/7)┌(01:50pm:06/09/11)┌-
└┌(%:~/Downloads)┌- su - root
Password:
┌┌(root@freetstar-lap)┌(23/pts/7)┌(01:56pm:06/09/11)┌-
└┌(#:~)┌-
#成功了
auth.log就不再贴了,基本上和第一步的日志一样
这里有一个小问题:root用户默认不再admin组里,所以为了让root用户也可以无障碍su,需要将root用户添加到admin组中
Tips:
1 任何使用su成功与否的信息都会在日志中有记录