linux下禁止非管理组普通用户登录超级用户root

一般人都知道，linux的最高权限是root账号，因此防范root登录是一个非常必要的事情。

1：禁止普通用户通过su -切换到超级用户root

[root@localhost ~]# su - test
[test@localhost ~]$ su -    #正常情况下，可以切换到root环境
Password:
[root@localhost ~]#
[root@localhost ~]# grep "pam_wheel.so" /etc/pam.d/su
#auth           sufficient      pam_wheel.so trust use_uid
auth            required        pam_wheel.so use_uid             #取消注释后，则无法su -登录root
[test@localhost ~]$ su -
Password:
su: incorrect password
[root@localhost ~]# usermod -G wheel test    #将test加入wheel组即可
[root@localhost ~]# su - test
[test@localhost ~]$ su -
Password:
[root@localhost ~]#
[root@localhost ~]# grep wheel /etc/group
wheel:x:10:test

2：禁止ssh远程root登录

cat >> /etc/ssh/sshd_config <<BYRD
#BY:BYRD
Port 22987    #修改为你需要的端口
PermitRootLogin no    #禁止root远程登录
PermitEmptyPasswords no    #禁止空密码登录
UseDNS no    #关闭DNS反向解析
#BY:BYRD
BYRD

3：visudo配置权限配置合理

User_Alias MASTER = manage
Cmnd_Alias MASTER = ALL, !/usr/sbin/visudo*, !/usr/bin/passwd root, !/usr/bin/vim /etc/passwd, !/bin/vi /etc/passwd, \
!/usr/bin/vim /etc/sudoers, !/bin/vi /etc/sudoers, !/bin/chmod, !/bin/chown, !/bin/chgrp   #定义运维经理权限