CentOS7的 wheel 組

• Linux學習筆記之CentOS7的 wheel組
• • 加入wheel組的方法
  • 移出wheel組的方法
  • /etc/pam.d/su
  • wheel為何牛? 來自 /etc/sudoers
  • 秘籍
  • • 使 wheel 組用戶 `su` 時, 不用輸入密碼
    • 使 wheel 組用戶 `sudo` 時, 不用輸入密碼

Linux學習筆記之CentOS7的 wheel組

• Wheel源自俚語big wheel，意味大人物。該組的用戶，可以通過輸入密碼或不輸入密碼的方式提權為root
• Wheel組是Unix系統一個遺留物, 如今大多數的Linux發行版本中，仍然保留了wheel這個組，雖然它已經不像當初設計出來的那樣必要了
• wheel組的目的是不讓不屬于該組的用戶通過 su 切換到 root, 即便知道root密碼
• wheel的權利來自 /etc/sudoers 中的 %wheel ALL=(ALL) ALL 這句
• Ubuntu 沒有wheel組

加入wheel組的方法

用 useradd 創建用戶并加入

# 用戶的主組被設為wheel useradd -g wheel 用戶名

或

# 用戶的附加組添加wheel組 useradd -G wheel 用戶名

-g只能一個組,且設為主組 -G可以多個組,用逗號分隔

用 usermod

# 只加-G(--groups)不加-a(--append)會移出該用戶原先的附加組, 不會移出主組 usermod -G wheel 用戶名

或

# -aG 等同 -a(--append) -G(--groups) , 加上 -a 后 就不會移出原先的附加組了 usermod -aG wheel 用戶名

或

# -aG 等同 -a(--append) -G(--groups) , 加上 -a 后 就不會移出原先的附加組了 useradd -a -G wheel 用戶名

用 gpasswd

gpasswd -a 用戶名 wheel

或

gpasswd -M 用戶名 wheel

修改 /etc/group 文件

sudo vi /etc/group

在 wheel: x:10: 后添加用戶名 , 以逗號分隔

移出wheel組的方法

• 方法1

sudo gpasswd -d 用戶名 wheel

• 方法2 修改 /etc/group 文件

sudo vi /etc/group

在 wheel: x:10: 后去除用戶名

/etc/pam.d/su

在 /etc/pam.d/su 中, 與wheel有關的有兩句 , 默認是加注釋的,
此時所有用戶能su到root, 要密碼

#%PAM-1.0 auth sufficient pam_rootok.so# 取消注釋以下行以隱式信任“wheel”組中的用戶。(就是 su 不用輸入密碼) # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel.so trust use_uid //這句## 取消下面這行的注釋, 則要求使用su的用戶必須在"wheel"組中 # Uncomment the following line to require a user to be in the "wheel" group. #auth required pam_wheel.so use_uid //和這句auth substack system-auth auth include postlogin account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session include postlogin session optional pam_xauth.so

啟用這條👇使得wheel成員su到root不用輸密碼

auth sufficient pam_wheel.so trust use_uid

啟用這條👇使得非wheel成員無法切換到root

auth required pam_wheel.so use_uid

wheel為何牛? 來自 /etc/sudoers

wheel組的能力來自 /etc/sudoers 里的 %wheel ALL=(ALL) ALL 這句

## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL

也可以自定義超級組

## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL %SuperGroup ALL=(ALL) ALL

秘籍

使 wheel 組用戶 su 時, 不用輸入密碼

去掉 /etc/pam.d/su 文件的 #auth sufficient pam_wheel.so trust use_uid //這句的注釋(井號#)

使 wheel 組用戶 sudo 時, 不用輸入密碼

去掉 /etc/sudoers 文件的 # %wheel ALL=(ALL) NOPASSWD: ALL //這句的注釋(井號#)

總結

以上是生活随笔為你收集整理的Linux学习笔记之CentOS7的 wheel组的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。