su用什么配置,su命令如何配置环境变量有哪些步骤

在 Linux 系统管理中,su 命令的正确配置是保障服务器安全的核心环节,推荐通过 PAM 模块限制 su 权限、使用 wheel 用户组并启用完整日志审计,必要时应以 sudo 替代传统 su 以降低风险。

su用什么配置

su 命令基础与安全风险

su 命令用于切换当前用户身份,最常用场景是以普通用户切换到 root 执行管理操作,但默认 su 配置存在明显安全缺陷:任何知道 root 密码的用户都能直接切换,导致权限滥用、攻击面扩大,尤其在多用户或云服务器环境中风险极高,su 切换后的操作难以追溯,一旦发生安全事件,无法定位责任人。

核心风险包括: root 密码泄露即全盘失守、无操作日志导致审计缺失、无法进行细粒度权限分配,必须通过配置对 su 进行严格管控。

核心配置方法:PAM 与用户组

限制 su 权限:仅允许 wheel 组使用

/etc/pam.d/su 文件中的 auth required pam_wheel.so use_uid 行取消注释(或添加),即可实现仅 wheel 组成员能通过 su 切换到 root,操作步骤:

  • 编辑 /etc/pam.d/su,确保存在 auth required pam_wheel.so use_uid
  • 使用 usermod -aG wheel 用户名 将可信用户加入 wheel 组。
  • 测试:非 wheel 组用户执行 su - 会提示“密码正确但权限不足”。

此配置将 su 权限从“密码验证”升级为“身份+密码双验证”,极大缩小攻击面。

启用 PAM 日志审计

/etc/pam.d/su 中添加 auth optional pam_tally2.soaccount required pam_tally2.so 可记录失败的登入尝试,结合 rsyslog 将 su 操作日志写入 /var/log/secure 或单独文件,便于事后追溯。关键操作建议:/etc/rsyslog.conf 中增加 authpriv. /var/log/su.log,并重启 rsyslog 服务。

su用什么配置

替代方案:使用 sudo 实现更精细控制

对于大多数运维场景,建议优先使用 sudo 而非 su。 sudo 允许管理员通过 /etc/sudoers 文件精确指定哪些用户能以哪些身份执行哪些命令,且所有操作记录到日志。

username ALL=(ALL) ALL

但这会授予全部权限;更安全的做法是:

username ALL=(root) /usr/bin/systemctl, /usr/bin/vi

sudo 与 su 的核心区别: su 需要知道目标用户密码,sudo 只需用户自身密码(甚至可免密),且 sudo 的日志详细程度远超 su。当 su 必须使用时,建议配合 sudo 规则实现“禁止直接 su 到 root,但允许通过 sudo 执行特定命令”。

酷番云实践经验:云服务器 su 安全配置

在酷番云云服务器产品中,我们发现大量安全事件源于默认 su 配置未修改,以下是我们与客户合作时推荐的标准化方案:

案例:金融客户审计合规

某金融客户使用酷番云高防服务器,需满足等保二级要求,我们首先在 /etc/pam.d/su 中启用 wheel 组限制,并创建 su-admin 专用组,仅允许 3 名运维人员加入,然后配置 sudo 规则,要求所有 root 操作必须通过 sudo 执行,并启用 sudo 的日志转发至集中日志服务器。结果: 成功通过审计,且半年内未发生权限滥用事件。

su用什么配置

具体实施步骤(适用于酷番云 CentOS/Ubuntu 镜像)

  1. 创建运维组: groupadd su-admin && usermod -aG su-admin 运维用户
  2. 修改 PAM 配置: 编辑 /etc/pam.d/su,添加 auth required pam_wheel.so group=su-admin
  3. 禁用直接 root 登录:/etc/ssh/sshd_config 中设置 PermitRootLogin no,强制通过普通用户 + su 或 sudo 进入管理。
  4. 启用审计: 配置 auditd 监控 su 命令调用,auditctl -w /bin/su -p x -k su_switch
  5. 测试验证: 使用非运维组用户执行 su -,确认被拒绝;运维组用户正常切换。

经验总结: 云服务器上务必结合密钥登录、双因素认证进一步加固,切勿仅依赖密码保护 su 权限,酷番云提供一键安全加固镜像,可预置上述配置,帮助用户快速达标。

最佳实践与建议

  • 避免直接使用 root 密码, 通过 wheel 组+su 或 sudo 进行管理。
  • 对所有 su 和 sudo 操作开启日志, 并定期巡检 /var/log/secure
  • 使用 sudo 的 Defaults logfile 指定日志路径, 便于与 SIEM 系统集成。
  • 定期审计 wheel 组成员, 移除不再需要的用户。
  • 若必须使用 su,考虑设置 su 的 TMOUT 超时, 防止未锁屏终端被滥用。

常见问题解答

Q1:为什么我配置了 wheel 组限制后,root 用户也无法通过 su 切换到其他用户?

解答: 默认 pam_wheel 模块仅限制从普通用户切换到 root,root 用户切换到其他用户不受影响,若 root 也无法切换,请检查 /etc/pam.d/su 中是否添加了 auth required pam_wheel.so 且未指定 group=root,或存在其他 PAM 冲突。建议:auth required pam_wheel.so 前添加 auth substack system-auth 确保不影响 root 自身权限。

Q2:在云服务器上,直接禁止 su 而只使用 sudo,是否可行?

解答: 完全可行,且是推荐做法,许多云厂商(包括酷番云)的官方镜像默认禁用 root 密码登录,并通过 sudo 进行管理。操作步骤: 删除 /etc/pam.d/su 中的 pam_wheel 相关行,将所有管理员加入 sudo 组,并在 /etc/sudoers 中设置 Defaults rootpw%sudo ALL=(ALL) ALL注意: 务必保留一个具有 sudo 权限的普通用户,避免意外锁定。

图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/628303.html

(0)
上一篇 2026年7月18日 08:18
下一篇 2026年7月18日 08:22

相关推荐

  • Apache服务器配置教程,apache服务器配置

    Apache服务器配置的核心在于平衡性能、安全与稳定性,通过合理的模块加载、虚拟主机优化及HTTP头部管理,可实现高并发下的资源高效利用,Apache作为全球最流行的Web服务器软件之一,其配置逻辑直接决定了网站的服务质量,对于追求极致访问体验的企业而言,单纯的“安装完成”仅是起点,深度定制才是关键,核心优化策……

    2026年7月3日
    0285
  • 分布式架构数据库双11优惠活动,哪些用户能享专属折扣?

    双11优惠活动全面解析随着数字化转型的深入,企业对数据库的性能、扩展性和稳定性提出了更高要求,分布式架构数据库凭借其高可用、弹性扩展和横向扩展等优势,逐渐成为支撑业务发展的核心基础设施,在即将到来的双11购物节,各大云服务商和数据库厂商纷纷推出优惠活动,帮助企业以更低成本拥抱分布式数据库技术,本文将围绕分布式架……

    2025年12月16日
    02150
  • 安全咨询新购优惠是限时活动吗?具体怎么申请?

    在当今数字化浪潮席卷全球的时代,企业运营与信息系统的深度绑定已成为常态,伴随着技术进步而来的,是日益复杂多变的安全威胁,数据泄露、勒索软件、钓鱼攻击等安全事件频发,不仅给企业造成直接经济损失,更可能对其声誉和客户信任造成不可逆的损害,在此背景下,专业的安全咨询服务不再是大企业的“专利”,而是所有组织保障业务连续……

    2025年11月28日
    02460
    • 服务器间歇性无响应是什么原因?如何排查解决?

      根源分析、排查逻辑与解决方案服务器间歇性无响应是IT运维中常见的复杂问题,指服务器在特定场景下(如高并发时段、特定操作触发时)出现短暂无响应、延迟或服务中断,而非持续性的宕机,这类问题对业务连续性、用户体验和系统稳定性构成直接威胁,需结合多维度因素深入排查与解决,常见原因分析:从硬件到软件的多维溯源服务器间歇性……

      2026年1月10日
      020
  • 侠盗猎车4配置要求高吗,侠盗猎车4最低配置

    侠盗猎车4配置:从入门到优化,打造极致自由城体验在PC平台上重温《侠盗猎车手4》(GTA IV)的经典魅力,核心在于平衡硬件性能与游戏优化,对于绝大多数玩家而言,NVIDIA GTX 1060 或 AMD RX 580 级别的显卡配合 Intel i5 或 AMD Ryzen 5 处理器,是流畅运行该游戏的“黄……

    2026年5月26日
    01225

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

评论列表(3条)

  • lucky542girl的头像
    lucky542girl 2026年7月18日 08:23

    这篇文章的内容非常有价值,我从中学习到了很多新的知识和观点。作者的写作风格简洁明了,却又不失深度,让人读起来很舒服。特别是使用部分,给了我很多新的思路。感谢分享这么好的内容!

    • luckycool9的头像
      luckycool9 2026年7月18日 08:24

      @lucky542girl读了这篇文章,我深有感触。作者对使用的理解非常深刻,论述也很有逻辑性。内容既有理论深度,又有实践指导意义,确实是一篇值得细细品味的好文章。希望作者能继续创作更多优秀的作品!

  • 学生bot259的头像
    学生bot259 2026年7月18日 08:25

    这篇文章的内容非常有价值,我从中学习到了很多新的知识和观点。作者的写作风格简洁明了,却又不失深度,让人读起来很舒服。特别是使用部分,给了我很多新的思路。感谢分享这么好的内容!