今日赶上2个很奇怪的业务,有1台服务器在选用su

root命令切换成root账号时,老是报密码不正确。不过root密码完全是不错的,而且可以行使账号密码直接ssh登录服务器。非凡狐疑,如下所示:

 

 

[oracle@DB-Server ~]$ more /etc/redhat-release 

Red Hat Enterprise Linux Server release 5.7 (Tikanga)

[oracle@DB-Server ~]$ su - root

Password: 

su: incorrect password

[oracle@DB-Server ~]$ 

 

 

澳门金沙国际 1

 

 

背后谷歌搜索了1些资料,然后测试、验证后才弄明白了实际原因。在Linux中为了更进一步压实系统的安全性,很有须要建立了贰个组织者的组,只同意这几个组的用户来实施“su
-”命令登录为root用户,而让任何组的用户就是实施“su
-”、输入了科学的root密码,也惊惶失措登录为root用户。在UNIX和Linux下,那一个组的称谓日常为“wheel”。而那么些是在安排文件/etc/pam.d/su里面配备的。如下截图所示:

 

“auth  
required    
pam_wheel.so use_uid”   
表示禁止非wheel组用户切换成root。所以就出现了地点在oracle用户下切换root用户报密码错误的景观

 

 

[root@DB-Server ~]# groups oracle

oracle : oinstall dba

[root@DB-Server ~]# cat /etc/pam.d/su

 

 

 

澳门金沙国际 2

 

 

 

Wheel组概念 

 

Wheel组是Unix系统贰个遗留物。当服务器供给做比常常例行维护更尖端的行事的时候,就不时须求用到root权限了。而以此wheel组正是确立用来回顾一些特有的系统用户用的,那之中的用户都或多或少地享有root的一对成效和权力。相当于说假设您不是wheel组成员,那就不曾root身上任何的特权。也因为如此,使用wheel组成员用户来说,会尽量收缩对系统“摧毁性”破坏的概率轻风险。最近多数的Linux发行版本中,依旧保留了wheel那么些组,即便它已经不像当年安排出来的那么供给了,不过多少老玩家还是忠于那种旧式经典风格的,所以他们平时照旧照样让wheel组发挥着昔日的机能。他们是那般做的:在创制他们友善的用户时,将其添参加wheel组中(用wheel组作为用户的主组),大概选取vigr来编辑/etc/group文件,将他们的用户名扩展到wheel组那行的尾声。

 

 

为何供给wheel组?

 

屡见不鲜在UNIX下,就算大家是系统的指挥者,也不推荐用
root 用户登录来实行系统管理。1般景观下用普通用户登录,在急需 root
权限履行壹些操作时,再 su 登录成为 root 用户。但是,任何人只要知道了
root 的密码,就都足以透过 su 命令来报到为 root 用户——那毋庸置疑为系统带来了安全隐患。所以,将普通用户加入到
wheel
组,被到场的这几个普通用户就成了协会者组内的用户,但假诺不对有的连锁的安排文件实行布署,那个管理员组内的用户与普通用户也没怎么分别——就好像警察下班后,未有带枪、穿那便衣和普通人(用户)1样,纵然他的的确确是警察。这么些对于系统安全确实很有扶助。

 

1:查看wheel组

 

[root@DB-Server
~]# cat /etc/group | grep wheel

wheel:x:10:root

[root@DB-Server
~]# groups oracle 
–查看某些用户的用户组

oracle
: oinstall dba

 

二:检查日志发现那二个做了su切换的日志新闻。

 

[root@DB-Server
~]#  grep su
/var/log/secure | grep -v sudo

Jun
20 11:32:46 DB-Server su: pam_unix(su-l:session): session opened for
user oracle by root(uid=0)

Jun
20 11:32:53 DB-Server su: pam_unix(su-l:auth): authentication failure;
logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost=  user=root

Jun
20 11:33:07 DB-Server su: pam_unix(su-l:auth): authentication failure;
logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost=  user=root

Jun
20 11:33:20 DB-Server su: pam_unix(su-l:session): session closed for
user oracle

[root@DB-Server
~]#

 

竭泽而渔办法也很简单,要么将相应的账号进入wheel组,要么注释掉配置文件/etc/pam.d/su中的”auth  
required    
pam_wheel.so use_uid” 那一行记录。

 

 

参考资料:

 

 

 

后日遇到二个很想获得的事务,有1台服务器在利用su

root命令切换来root账号时,老是报密码不得法。不过root密码完全是天经地义的,而且可以采用账号密码直接ssh登录服务器。相当疑惑,如下所示:

 

 

[oracle@DB-Server ~]$ more /etc/redhat-release 

Red Hat Enterprise Linux Server release 5.7 (Tikanga)

[oracle@DB-Server ~]$ su - root

Password: 

su: incorrect password

[oracle@DB-Server ~]$ 

 

 

澳门金沙国际 3

 

 

末尾谷歌(Google)搜索了部分质感,然后测试、验证后才弄精通了现实原因。在Linux中为了更进一步升高系统的安全性,很有要求建立了1个大班的组,只同意这一个组的用户来实施“su
-”命令登录为root用户,而让其余组的用户正是实施“su
-”、输入了不利的root密码,也无能为力登录为root用户。在UNIX和Linux下,那几个组的称号常常为“wheel”。而这几个是在配备文件/etc/pam.d/su里面配备的。如下截图所示:

 

“auth  
required    
pam_wheel.so use_uid”   
表示禁止非wheel组用户切换来root。所以就涌出了地点在oracle用户下切换root用户报密码错误的状态

 

 

[root@DB-Server ~]# groups oracle

oracle : oinstall dba

[root@DB-Server ~]# cat /etc/pam.d/su

 

 

 

澳门金沙国际 4

 

 

 

Wheel组概念 

 

Wheel组是Unix系统一个遗留物。当服务器供给做比平时例行维护更尖端的干活的时候,就时不时必要用到root权限了。而以此wheel组正是成立用来综合一些尤其的系统用户用的,那其间的用户都或多或少地享有root的壹些机能和权力。也正是说如若你不是wheel组成员,那就从未有过root身上任何的特权。也因为如此,使用wheel组成员用户来说,会尽量减弱对系统“摧毁性”破坏的概率和高危害。近日当先十二分之5的Linux发行版本中,还是保留了wheel那一个组,固然它已经不像当年规划出来的那样要求了,但是有个别老玩家依旧忠于那种旧式经典风格的,所以她们不时照旧1如既往让wheel组发挥着过去的效劳。他们是这么做的:在创造他们友善的用户时,将其添到场wheel组中(用wheel组作为用户的主组),或许选拔vigr来编辑/etc/group文件,将她们的用户名扩张到wheel组那行的最后。

 

 

何以要求wheel组?

 

家常便饭在UNIX下,即便大家是系统的领队,也不引进用
root 用户登录来实行系统一管理理。一般景观下用普通用户登录,在供给 root
权限履行壹些操作时,再 su 登录成为 root 用户。然而,任何人一旦知道了
root 的密码,就都足以由此 su 命令来报到为 root 用户——那确实为系统带来了安全隐患。所以,将普通用户参加到
wheel
组,被投入的这么些普通用户就成了组织者组内的用户,但即使不对有的生死相依的配置文件进行配置,这些管理员组内的用户与普通用户也没怎么分别——就像是巡警下班后,未有带枪、穿那便衣和老百姓(用户)一样,即便她的的确确是警察。这几个对于系统安全确实很有帮带。

Linux下Wheel用户组介绍。 

1:查看wheel组

 

[root@DB-Server
~]# cat /etc/group | grep wheel

wheel:x:10:root

[root@DB-Server
~]# groups oracle 
–查看有些用户的用户组

oracle
: oinstall dba

 

二:检查日志发现那么些做了su切换的日志消息。

 

[root@DB-Server
~]#  grep su
/var/log/secure | grep -v sudo

Jun
20 11:32:46 DB-Server su: pam_unix(su-l:session): session opened for
user oracle by root(uid=0)

Jun
20 11:32:53 DB-Server su: pam_unix(su-l:auth): authentication failure;
logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost=  user=root

Jun
20 11:33:07 DB-Server su: pam_unix(su-l:auth): authentication failure;
logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost=  user=root

Jun
20 11:33:20 DB-Server su: pam_unix(su-l:session): session closed for
user oracle

[root@DB-Server
~]#

 

涸泽而渔办法也非常粗大略,要么将相应的账号进入wheel组,要么注释掉配置文件/etc/pam.d/su中的”auth  
required    
pam_wheel.so use_uid” 那一行记录。

 

 

参考资料:

 

 

 

Linux下Wheel用户组介绍,linuxwheel用户组

今日遇上多个很想获得的思想政治工作,有一台服务器在行使su –
root命令切换来root账号时,老是报密码不正确。然而root密码完全是不易的,而且能够使用账号密码间接ssh登录服务器。卓殊思疑,如下所示:

 

 

[[email protected] ~]$ more /etc/redhat-release 

Red Hat Enterprise Linux Server release 5.7 (Tikanga)

[[email protected] ~]$ su - root

Password: 

su: incorrect password

[[email protected] ~]$ 

 

 

 

 

末尾谷歌(Google)搜索了部分材质,然后测试、验证后才弄驾驭了现实原因。在Linux中为了更进一步进步系统的安全性,很有须要建立了二个大班的组,只同意这几个组的用户来实施“su
-”命令登录为root用户,而让别的组的用户正是实施“su
-”、输入了科学的root密码,也不知所措登录为root用户。在UNIX和Linux下,这一个组的称谓经常为“wheel”。而这么些是在安插文件/etc/pam.d/su里面配备的。如下截图所示:

 

“auth   required     pam_wheel.so use_uid”   
表示禁止非wheel组用户切换成root。所以就涌出了地点在oracle用户下切换root用户报密码错误的景观

 

 

[[email protected] ~]# groups oracle

oracle : oinstall dba

[[email protected] ~]# cat /etc/pam.d/su

 

 

 

 

 

 

Wheel组概念 

 

Wheel组是Unix系统2个遗留物。当服务器供给做比日常例行维护更尖端的行事的时候,就不时需求用到root权限了。而以此wheel组正是确立用来综合一些特种的系统用户用的,那一个中的用户都或多或少地具有root的1些机能和权力。也便是说假诺你不是wheel组成员,那就不曾root身上任何的特权。也因为这么,使用wheel组成员用户来说,会尽量减弱对系统“摧毁性”破坏的可能率和高危机。近来大部分的Linux发行版本中,还是保留了wheel那些组,尽管它早已不像当年规划出来的那么要求了,不过有个别老玩家还是忠于这种旧式经典风格的,所以她们不时依旧1如既往让wheel组发挥着过去的功用。他们是那样做的:在建立他们协调的用户时,将其添参加wheel组中(用wheel组作为用户的主组),只怕选拔vigr来编辑/etc/group文件,将她们的用户名扩大到wheel组那行的最后。

 

 

缘何供给wheel组?

 

平凡在UNIX下,就算大家是系统的指挥者,也不引进用 root
用户登录来实行系统管理。壹般意况下用普通用户登录,在急需 root
权限履行1些操作时,再 su 登录成为 root 用户。但是,任何人一旦领会了
root 的密码,就都得以因此 su 命令来报到为 root
用户——那的确为系统带来了安全隐患。所以,将普通用户插足到 wheel
组,被投入的这几个普通用户就成了组织者组内的用户,但壹旦不对有的息息相关的布署文件实行布署,这些管理员组内的用户与普通用户也没怎么分别——就像是巡警下班后,未有带枪、穿这便衣和老百姓(用户)1样,纵然她的的确确是警察。这一个对于系统安全确实很有支持。

 

1:查看wheel组

 

[[email protected]
~]# cat /etc/group | grep wheel

wheel:x:10:root

[[email protected]
~]# groups oracle  –查看某些用户的用户组

oracle : oinstall dba

 

二:检查日志发现这几个做了su切换的日记音信。

 

[[email protected]
~]#  grep su /var/log/secure | grep -v sudo

Jun 20 11:32:46 DB-Server su: pam_unix(su-l:session): session opened
for user oracle by root(uid=0)

Jun 20 11:32:53 DB-Server su: pam_unix(su-l:auth): authentication
failure; logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost= 
user=root

Jun 20 11:33:07 DB-Server su: pam_unix(su-l:auth): authentication
failure; logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost= 
user=root

Jun 20 11:33:20 DB-Server su: pam_unix(su-l:session): session closed
for user oracle

[[email protected]
~]#

 

解决措施也相当粗略,要么将相应的账号进入wheel组,要么注释掉配置文件/etc/pam.d/su中的”auth  
required     pam_wheel.so use_uid” 那1行记录。

 

 

参考资料:

 

 

 

前天蒙受三个很想获得的事务,有一台服务器在运用su –
root命令切换成root账号时,老是报密码不得法。…

 

  这篇文章较详细

开辟/etc/pam.d/目录下的其余一个布局文件,当中每行的印证规则都利用如下所示的语法格式:
    Type  Control-flag  Module-path  Module-arguments
   
当中每行代表三个独自的证实措施,每一种配置文件能够由四种证实规则相互叠加而成。验证时PAM-API会遵照从上往下的措施挨个读取那一个注脚规则,并依据个中的操纵标志做出相应的动作。

required    有些退步,继续往下,直到全数达成后。
requisite    有个别失利,全部甘休
sufficient    有些成功,全体结束

   
验证服务模块-用于授予用户访问帐户或劳务的权力。提供此服务的模块能够印证用户并设置用户凭证。

   
帐户管理模块-用于显著当前用户的帐户是还是不是行得通。提供此服务的模块能够检查口令或帐户的失效期以及限时访问。

    会话管理模块-用于设置和甘休登录会话。

    口令管理模块-用于强制实施口令强度规则并推行验证令牌更新。

[root@84-monitor pam.d]# cat sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be
executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

[root@84-monitor pam.d]# cat password-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
type=
password    sufficient    pam_unix.so sha512 shadow nullok
try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in
crond quiet use_uid
session     required      pam_unix.so

[root@84-monitor pam.d]# cat login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad]
pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be
executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so

减号的意思是1旦因为系统里不曾这么些模块而不可能载入的话,pam库将不记录日志。

 

 

linux-PAM (Pluggable Authentication Modules for
linux)是叁个共享库套件,它能使地面系统一管理理员选取应用程序如何评释用户,

科学普及的应用程序有login,sshd,su,sudo,passwd

 

login的pam日志,操作为在地面控制台登录输入用户名与密码
Dec  9 11:34:31 localhost login: pam_unix(login:session): session
opened for user root by LOGIN(uid=0)
Dec  9 11:34:31 localhost login: ROOT LOGIN ON tty1
Dec  9 11:42:06 localhost login: pam_unix(login:session): session
closed for user root

sshd的pam日志,操作为ssh连接3个服务器并输入用户名与密码,查看日志,然后退出
Dec  9 11:38:52 localhost sshd[30208]: Accepted password for root from
192.168.1.88 port 50718 ssh2
Dec  9 11:38:52 localhost sshd[30208]: pam_unix(sshd:session):
session opened for user root by (uid=0)
Dec  9 11:40:13 localhost sshd[30208]: pam_unix(sshd:session):
session closed for user root
 
su的pam日志,操作为用普通用户登录,然后su -输入root密码,然后退出
Dec  9 11:46:02 localhost su: pam_unix(su-l:session): session opened
for user root by a1(uid=500)
澳门金沙国际 ,Dec  9 11:47:27 localhost su: pam_unix(su-l:session): session closed
for user root

sudo的pam日志,第三条是输入普通用户密码错误,第1条是此普通用户不在sudoers
file里
Dec  9 11:58:47 localhost sudo: pam_unix(sudo:auth): authentication
failure; logname=a1 uid=500 euid=0 tty=/dev/pts/0 ruser=a1 rhost= 
user=a1
Dec  9 11:59:00 localhost sudo:       a1 : user NOT in sudoers ;
TTY=pts/0 ; PWD=/home/a1 ; USER=root ; COMMAND=/bin/df -h
Dec  9 14:16:25 localhost sudo:       a1 : TTY=pts/0 ; PWD=/home/a1 ;
USER=root ; COMMAND=/sbin/fdisk -l
Dec  9 14:17:03 localhost sudo:       a1 : user NOT in sudoers ;
TTY=pts/0 ; PWD=/home/a1 ; USER=root ; COMMAND=/sbin/fdisk -l
修改下边,将a1前的#号去掉,即时生效,然后实施sudo时会中标。
[root@localhost pam.d]# visudo
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
#a1 ALL=/bin/df -h,/sbin/fdisk

passwd的pam日志,操作为普通用户登录,然后passwd改自个儿的密码,第3条日志是现阶段密码输入错误,第一条是因为太复杂密码不般配,最终一条是设置成功
Dec  9 11:50:22 localhost passwd: pam_unix(passwd:chauthtok):
authentication failure; logname=a1 uid=500 euid=0 tty=pts/0 ruser=
rhost=  user=a1
Dec  9 11:55:44 localhost passwd: pam_cracklib(passwd:chauthtok):
pam_get_authtok_verify returned error: Failed preliminary check by
password service
Dec  9 11:57:30 localhost passwd: pam_unix(passwd:chauthtok): password
changed for a1

相关文章