wheel 组的概念
wheel 组的概念继承自 UNIX 。当站群服务器需要进行一些日常系统管理员无法执行的高阶维护时,往往就要用到 root 许可权;而 “wheel” 组就是一个包含这些特殊许可权的使用者池;也就是说,如果你不是 “wheel” 组的成员,就无法取得 root 许可权进行一些特权的操作;
为什么需要 wheel 组?
通常在 UNIX 下,即使我们是系统的管理员,也不推荐用 root 使用者登入来进行系统管理。一般情况下用普通使用者登入,在需要 root 许可权执行一些操作时,再 su 登入成为 root 使用者。但是,任何人只要知道了 root 的密码,就都可以通过 su 命令来登入为 root 使用者——这无疑为系统带来了安全隐患。所以,将普通使用者加入到 wheel 组,被加入的这个普通使用者就成了管理员组内的使用者,但如果不对一些相关的配置档案进行配置,这个管理员组内的使用者与普通使用者也没什么区别——就像警察下班后,没有带枪、穿这便衣和普通人(使用者)一样,虽然他的的确确是警察。
如何把使用者加入 wheel 组?
前面说了,除了 root 使用者,只有 wheel 组的成员有特权执行高阶操作,那么怎么把使用者提升成为 wheel 使用者组成员呢?
可以使用 vigr 来编辑 /etc/group 档案,将新的使用者名称追加到 wheel 组的末尾,就像这样:
wheel::10:root,kc
对于站群服务器来说,我们希望的是剥夺被加入到 wheel 组使用者以外的普通使用者通过 su 命令来登入为 root 的机会(即只有属于 wheel 组的使用者才可以用 su 登入为 root)。这样就进一步增强了系统的安全性。具体步骤如下:
1)修改 /etc/pam.d/su 档案,找到 “#auth required /lib/security/$ISA/pam_wheel.so use_uid ” 这一行,将行首的 “#” 去掉。
2)修改 /etc/login.defs 档案,在最后一行增加 “SU_WHEEL_ONLY yes” 语句。