请问如何设置权限一个用户不可以su root但可以su到其他用户

zhwakin

请问如何设置下列用户：不可以su root但可以su到其他用户
现在是根据
6．限制su命令
　如果您不想任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：
　 auth sufficient /lib/security/pam_rootok.so debug
　 auth required /lib/security/pam_wheel.so group=isd
　这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：
　 # usermod -G10 admin
这个方法来设置，但出现以下情况

/etc/pam.d/su 文件如下：
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required /lib/security/$ISA/pam_wheel.so use_uid group=admin
// 仅允许admin组的成员su成root


假设有3个用户: alice ， bob 和 courer
# usermod -G admin alice

进行以上设置后, 只有用户alice可以su成root， 而bob却不可以，但是bob竟然也不能su成其他普通用户，如courer

/var/log/message中提示:
PAM-Wheel[3873]: Access denied for 'bob' to 'courer'

sakulagi

除非courer的uid也是0，否则感觉是pam_wheel的bug

網中人

pam_wheel.so 可限制執行 su 的用戶, 但不是限制 su 後換成啥身份.
或改用 pam_listfile.so 如何?
auth required /lib/security/pam_listfile.so item=user sense=deny onerr=succeed file=/etc/sudeny

然後, 將 root 寫進 /etc/sudeny

嗯, 我沒試過, 麻煩樓主測一測看是否可行?

zhwakin

先谢谢楼上几位！
按照楼上所说方法进行了测试，
结果如下：
1，一般用户确实是可以su除uid＝0以外的用户
但带来了新的问题，
现在没有用户可以su root了，全都被listfile.so给限制了

重新描叙一下问题：
系统中需设置三类用户
1，不可以使用su的用户  
2，可以su到uid＝0以外的用户
3，可以su到任何用户的用户

解决方法
第一类用户可以通过设置/bin/su的权限来解决
第二类用户和第三类用户好像无法共存，
在HPUNIX下可以通过
echo “SU_ROOT_GROUP=usr01” >;/etc/default/security
来限制可以su root的组
请问在Linux（RH）下有没有类似的文件

哪位达能帮帮忙，提出一些建设性的建议!!!!!!

好好先生

原帖由 "zhwakin" 发表：
先谢谢楼上几位！
按照楼上所说方法进行了测试，
结果如下：
1，一般用户确实是可以su除uid＝0以外的用户
但带来了新的问题，
现在没有用户可以su root了，全都被listfile.so给限制了

重新描叙一下问题：
?.........

上面的大虾已经提示你了,可以用pam_wheel.so来实现.考虑设置一个wheel组,只有这个组的成员可以su - root.

網中人

將 pam_wheel.so 那行置於 pam_filelist.so 之前, 並設為 sufficient .
不知可否?

zhwakin

su文件中 auth排列顺序和 control字段的测试
1,auth       sufficient    /lib/security/pam_wheel.so debug
2,auth       required    /lib/security/pam_listfile.so item=user sense=deny onerr=succeed file=/etc/sudeny
3,auth       required     /lib/security/pam_stack.so service=system-auth

1，2 都为sufficient时，这两行等于没有设置，所有用户都可以进行su
1为sufficient，2 为required时，所有用户不可以su root

我的想法是
1，判断是否是wheel组，如果是则可以进行su操作，并进行密码认证后退出
2，如果不是wheel组，则进行listfile.o判断，如果是su root 则deny
如果不是su root 则allow，并进行密码验证

现在通过control字段的设置，好像无法做到 如果wheel.o判断正确，就不要再进行listfile.o判断

網中人

嗯? 有多少人在 wheel 群組裡?

你應將第 3 類用戶加進 wheel 才對啊, 其他人不能加進去.

如下順序如何?
3,auth       required     /lib/security/pam_stack.so service=system-auth
1,auth       sufficient    /lib/security/pam_wheel.so debug
2,auth       required    /lib/security/pam_listfile.so item=user sense=deny onerr=succeed file=/etc/sudeny

kingnetwork

测了半天还是不行啊!

comnow

1.auth sufficient /lib/security/pam_listfile.so item=user sense=deny onerr=succeed file=/etc/sudeny
2.auth required /lib/security/pam_wheel.so group=wheel

添加root用户到/etc/sudeny