怎么在Linux中限制對su命令的訪問

本篇內容主要講解“怎么在Linux中限制對su命令的訪問”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“怎么在Linux中限制對su命令的訪問”吧!

如果您已經向數據中心添加了Linux，或者您只是為您的業務使用了一臺Linux機器，那么您需要確保它是盡可能安全的。當然，每個人都認為Linux是地球上最安全的平臺之一。或許可能真的安全，但是您還事需要做許多事情來進一步提高Linux的安全性。

一個技巧是限制對su 命令的訪問。通過使用su命令，用戶可以從一個用戶更改為另一個用戶(如果他們有另一個用戶的密碼)。為什么這很重要?你可能有某些用戶管理員組中有完全訪問特定目錄(其中一些可能包含敏感數據)，并且不希望不在該組中的用戶能夠切換到用戶（通過使用su命令），然后獲得對該信息的訪問權限。

這個技巧可以在任何Linux發行版上完成，但我將在Ubuntu Server平臺上進行演示。 我們將創建一個新組，將用戶添加到該組，然后限制對該組su命令的訪問。

但是我們如何限制對su命令的訪問？ 這實際上非常簡單。 讓我演示給你看。

創建組

我們將首先在我們的服務器（或桌面）上創建一個新組。 為此，請打開終端窗口并發出命令：

sudo groupadd admin

您現在已將新組添加到系統中。 如果您發現管理組已存在，則可能必須創建具有不同名稱的組。

將用戶添加到新組

假設我們有用戶linuxidc.com，我們想將他添加到新組，以便他可以訪問su命令。 對此的命令是：

sudo usermod -a -G admin linuxidc.com

運行該命令后，用戶linuxidc.com將成為admin組的成員。

限制su訪問

現在我們需要允許管理組中的那些人訪問su命令。 這可以使用單個命令完成。 返回終端窗口，發出以下命令：

sudo dpkg-statoverride --update --add root admin 4750 /bin/su

試一試

從終端窗口登錄為用戶linuxidc.com。如果您試圖為該用戶使用su命令，那么將允許使用該命令。為什么?因為linuxidc是admin組的成員，admin組可以訪問su，但是如果你以另一個用戶的身份登錄并嘗試使用su命令，會被拒絕，為什么?因為只有admin組中的成員才能訪問su。

這就是限制在Linux中訪問su命令的全部內容。 雖然這不是您為了加強Linux安裝而需要采取的唯一步驟，但它肯定會阻止用戶訪問可以將其權限提升到他們不應具有的級別的工具。

到此，相信大家對“怎么在Linux中限制對su命令的訪問”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！