10 - Debian如何让特定用户切换root身份

作者：网络傅老师

特别提示：未经作者允许，不得转载任何内容。违者必究！

Debian如何让特定用户切换root身份

《傅老师Debian小知识库系列之10》——原创

---

==前言==

傅老师Debian小知识库特点：

1、最小化拆解Debian实用技能；

2、所有操作在VM虚拟机实测完成；

3、致力于最终形成Debian小知识手册；

（文章尾部有傅老师的二维码，欢迎沟通交流：）

适合人群：

1、想通俗易懂地学习相关知识的同学；

2、正在学习Debian的同学；

阅读建议：

无。过于精炼易懂，正常看就行。

所用版本：Debian 12.4

---

一、概念

    同学们都知道，普通用户需要使用root权限来执行某些操作时，可以通过 su 命令切换到root身份。这样，用户就可以执行需要超级用户权限的命令，完成一些重要的系统管理工作。

    但是，不能让所有用户都能切换root，天下大乱了，因此只能指定的用户才能切换root。

二、前置知识

    在/etc/pam.d/su文件中有一个PAM认证模块pam_wheel.so，它定义哪些用户能够使用su命令切换到root用户。同时，指定的用户要加入wheel组。

三、方法

    默认情况下，普通用户只要知道root密码就可以切换，如图9.1所示，用户zhangsan成功切换root。

图9.1 默认普通用户有root密码即可切换身份

    我们现在希望只有指定的用户lisi可以切换，而不允许zhangsan切换。

    操作如下：

1、编辑/etc/pam.d/su文件

root@debian:~# nano /etc/pam.d/su

    文件中加入以下内容：

auth       required   pam_wheel.so use_uid

    上面的pam_wheel.so就是认证模块。它定义哪些用户能用su命令切换到root。

    use_uid选项使用用户的UID来检查用户是否属于wheel组。

2、将指定用户lisi加入wheel组

root@debian:~# groupadd wheel
root@debian:~# gpasswd -a lisi wheel

验证

    启用pam_wheel.so认证模块后，zhangsan无法切换root，而lisi可以。如图9.2所示：

图9.2 指定用户使用su命令切换root

    同学们快打开虚拟机练习一下吧：）

    PS：这样一来，安全性提升了一些。但是这个用户lisi一下子就具备了root所有的超能力，权力有点太大了。能否限制一下lisi的操作呢？例如让他只可以执行添加和删除用户的操作。咱们下次讲解：）

    成都新都区初三毒试卷《杜鹃花落》震怒全网，目前仅对作者免职处理。这事会这么简单？呵呵

傅老师的微信名片

欢迎沟通交流：）