3.1.1.9 安全基线检查项目九：检查是否设置限制su命令用户组

限制su配置

关于限制su命令检查项，对于大多数的Linux（Redhat系列、Debian系列），进行本项检查很简单。只需要检查/etc/pam.d/su中是否配置了：

auth required pam_wheel.so use_uid [group=用户组名]

有些资料讲说需要有如下两条配置：

auth sufficient pam_rootok.so

和 auth  required pam_wheel.so use_uid

这里要说明一下auth sufficient pam_rootok.so的作用，只需要执行man pam_rootok即可。其实从rootok这么一个名字就能看出来：pam_rootok - Gain only root access。也就是说对root不做限制：root可以任意切换到所有用户。这一条是系统默认配置。检查的时候并不做硬性要求。

不同Linux发行版区别

前面为啥要强调“大多数的Linux（Redhat系列、Debian系列）”呢？因为SUSE这个老六跟别人都不一样。

几乎所有的Linux发行版都会存在如下两个文件：

-rw-r--r-- 1 root root 2259  7月 29  2021 /etc/pam.d/su
-rw-r--r-- 1 root root  137  7月 29  2021 /etc/pam.d/su-l

但是Redhat系列、Debian系列的su-l文件中的内容是这样的：

#%PAM-1.0
auth            include         su
account         include         su
password        include         su
session         optional        pam_keyinit.so force revoke
session         include         su

也就是说su-l引用了su，保证su配置即可。

SUSE嘞~~su-l和su配置是独立的，并且SUSE10- 版本中没有su-l这个文件。

~ # diff /etc/pam.d/su /etc/pam.d/su-l
~ # cat /etc/pam.d/su-l
#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     include        common-auth
account  sufficient         pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

su和su-l的区别

直接上结论：/etc/pam.d/su是对su 用户名进行限制的，而/etc/pam.d/su-l是对 su - 进行限制的。对于-的解释，执行su --help：

-, -l, --login               make the shell a login shell

总结

对于SUSE要增加对/etc/pam.d/su-l进行相同配置的检查。