将允许使用su命令的用户加入wheel组，并通过PAM模版限制非wheel组成员使用su命令的命令

在Linux系统中，su命令允许一个用户切换到另一个用户身份，而wheel组是许多Linux发行版默认使用的特殊组，用于管理对su命令的访问权限。默认情况下，wheel组的成员可以使用su命令切换到root用户。要限制只有wheel组的成员能够使用su命令，可以通过配置PAM（Pluggable Authentication Modules）实现。

具体操作步骤如下：

1. 将允许使用su命令的用户添加到wheel组。可以使用以下命令：

   usermod -aG wheel username

其中`username`是你希望添加到wheel组的用户名称。

2. 配置PAM以限制非wheel组成员使用su命令。这通常通过编辑`/etc/pam.d/su`文件完成。将以下行添加到文件中：

   auth required pam_wheel.so use_uid

这行配置表示只有wheel组的成员才能使用su命令。`use_uid`选项确保只有在调用`su`时实际拥有相应UID的用户才能切换到该UID。

完成以上步骤后，非wheel组成员将被限制使用su命令切换到其他用户（通常是root用户）。

相关问题

auth required pam_wheel.so use_uid trust group=wheel,xixi添加以上规则后wheel组用户不能使用su

这是因为您的规则中使用了"trust"选项，该选项将忽略掉用户输入的密码，直接允许其切换到目标用户。如果您想要限制只有wheel组的特定用户可以使用su命令，可以将"trust"选项去掉，然后在"/etc/group"文件中将需要使用su的用户添加到wheel组中。修改后的规则如下：

auth required pam_wheel.so use_uid group=wheel,xixi

请注意，这样设置可能会有一定的安全风险，因为任何人都可以通过添加到wheel组中来获得su权限。建议您根据实际情况自行评估风险并采取相应的措施。

Apr 3 02:12:38 localhost su: pam_listfile(su-l:auth): Refused user root for service su-l 添加了允许特定用户或组使用su命令的“/etc/su.allowed”文件报以上错误

这个错误是因为在使用su命令时，PAM模块尝试检查“/etc/su.allowed”文件以确定是否允许特定用户或组使用su命令。然而，当尝试使用root用户时，该文件拒绝了该用户的访问。

要解决此问题，您可以编辑“/etc/su.allowed”文件并将root用户添加到允许列表中。您可以使用以下命令将root用户添加到文件中：

echo "root" >> /etc/su.allowed

然后，再次尝试使用su命令并使用root用户登录，应该不会再出现上述错误。