通常在UNIX下,即使我们是系统的管理员,也不推荐用 root 用户登录来进行系统管理。一般情况下用普通用户登录,在需要 root 权限执行一些操作时,再 su 登录成为 root 用户。但是,任何人只要知道了 root 的密码,就都可以通过 su 命令来登录为 root 用户——这无疑为系统带来了安全隐患。所以,将普通用户加入到 wheel 组,被加入的这个普通用户就成了管理员组内的用户,但如果不对一些相关的配置文件进行配置,这个管理员组内的用户与普通用户也没什么区别——就像警察下班后,没有带枪、穿这便衣和普通人(用户)一样,虽然他的的确确是警察。这个对于系统安全确实很有帮助。
1:查看wheel组
[root@DB-Server ~]# cat /etc/group | grep wheel
wheel:x:10:root
[root@DB-Server ~]# groups oracle --查看某个用户的用户组
oracle : oinstall dba
2:检查日志发现那些做了su切换的日志信息。
[root@DB-Server ~]# grep su /var/log/secure | grep -v sudo
Jun 20 11:32:46 DB-Server su: pam_unix(su-l:session): session opened for user oracle by root(uid=0)
Jun 20 11:32:53 DB-Server su: pam_unix(su-l:auth): authentication failure; logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost= user=root
Jun 20 11:33:07 DB-Server su: pam_unix(su-l:auth): authentication failure; logname=root uid=500 euid=0 tty=pts/2 ruser=oracle rhost= user=root
Jun 20 11:33:20 DB-Server su: pam_unix(su-l:session): session closed for user oracle
[root@DB-Server ~]#
解决方法也很简单,要么将对应的账号加入wheel组,要么注释掉配置文件/etc/pam.d/su中的auth required pam_wheel.so use_uid 那一行记录。