公共服务器中如何彻底关闭用户Su和Sudo权限,限制提权操作?
- 内容介绍
- 相关推荐
本文共计924个文字,预计阅读时间需要4分钟。
在公共服务器上,禁止使用用户的 `su` 和 `sudo` 提权权限。核心目标是防止普通用户获得更高权限、规避审计、执行未授权操作。这并非简单的开关操作,而是分层控制:
彻底禁用 su 切换 root 或其他用户
默认情况下,任何知道目标用户密码的人都可通过 su - 切换。在公共服务器上必须阻断这一路径:
- 编辑
/etc/pam.d/su,添加两行强制限制:auth [success=ignore default=die] pam_succeed_if.so user = root quietauth required pam_deny.so
这样即使输入正确密码,su也会直接拒绝(除 root 自身外,但 root 本就不该直接登录)。 - 更稳妥的做法是禁用所有非 wheel 组成员的
su权限:
在同一文件中注释掉原有pam_wheel.so行,改为:auth required pam_wheel.so deny group=users
然后确保所有普通用户都不在wheel组中(gpasswd -d username wheel)。 - 额外加固:删除或重命名
/bin/su(仅限确定无任何合法运维依赖时),或设为仅 root 可执行:chmod 700 /bin/su;同时检查/usr/bin/su是否存在并同步处理。
本文共计924个文字,预计阅读时间需要4分钟。
在公共服务器上,禁止使用用户的 `su` 和 `sudo` 提权权限。核心目标是防止普通用户获得更高权限、规避审计、执行未授权操作。这并非简单的开关操作,而是分层控制:
彻底禁用 su 切换 root 或其他用户
默认情况下,任何知道目标用户密码的人都可通过 su - 切换。在公共服务器上必须阻断这一路径:
- 编辑
/etc/pam.d/su,添加两行强制限制:auth [success=ignore default=die] pam_succeed_if.so user = root quietauth required pam_deny.so
这样即使输入正确密码,su也会直接拒绝(除 root 自身外,但 root 本就不该直接登录)。 - 更稳妥的做法是禁用所有非 wheel 组成员的
su权限:
在同一文件中注释掉原有pam_wheel.so行,改为:auth required pam_wheel.so deny group=users
然后确保所有普通用户都不在wheel组中(gpasswd -d username wheel)。 - 额外加固:删除或重命名
/bin/su(仅限确定无任何合法运维依赖时),或设为仅 root 可执行:chmod 700 /bin/su;同时检查/usr/bin/su是否存在并同步处理。