wheel 組的概念
wheel 組的概念繼承自 UNIX 。當站群伺服器需要進行一些日常系統管理員無法執行的高階維護時,往往就要用到 root 許可權;而 “wheel” 組就是一個包含這些特殊許可權的使用者池;也就是說,如果你不是 “wheel” 組的成員,就無法取得 root 許可權進行一些特權的操作;
為什麼需要 wheel 組?
通常在 UNIX 下,即使我們是系統的管理員,也不推薦用 root 使用者登入來進行系統管理。一般情況下用普通使用者登入,在需要 root 許可權執行一些操作時,再 su 登入成為 root 使用者。但是,任何人只要知道了 root 的密碼,就都可以透過 su 命令來登入為 root 使用者——這無疑為系統帶來了安全隱患。所以,將普通使用者加入到 wheel 組,被加入的這個普通使用者就成了管理員組內的使用者,但如果不對一些相關的配置檔案進行配置,這個管理員組內的使用者與普通使用者也沒什麼區別——就像警察下班後,沒有帶槍、穿這便衣和普通人(使用者)一樣,雖然他的的確確是警察。
如何把使用者加入 wheel 組?
前面說了,除了 root 使用者,只有 wheel 組的成員有特權執行高階操作,那麼怎麼把使用者提升成為 wheel 使用者組成員呢?
可以使用 vigr 來編輯 /etc/group 檔案,將新的使用者名稱追加到 wheel 組的末尾,就像這樣:
wheel::10:root,kc
對於站群伺服器來說,我們希望的是剝奪被加入到 wheel 組使用者以外的普通使用者透過 su 命令來登入為 root 的機會(即只有屬於 wheel 組的使用者才可以用 su 登入為 root)。這樣就進一步增強了系統的安全性。具體步驟如下:
1)修改 /etc/pam.d/su 檔案,找到 “#auth required /lib/security/$ISA/pam_wheel.so use_uid ” 這一行,將行首的 “#” 去掉。
2)修改 /etc/login.defs 檔案,在最後一行增加 “SU_WHEEL_ONLY yes” 語句。
