I. Resumen
Para prohibir a los usuarios comunes demandar a root, los dos archivos de configuración /etc/pam.d/su y /etc/login.defs deben modificarse respectivamente.
2. Configuración detallada
(1) Eliminar los comentarios de las siguientes líneas en el archivo /etc/pam.d/su:
#auth requiere pam_wheel.so use_uid
(2) Agregue los siguientes elementos de configuración al archivo /etc/login.defs:
SU_WHEEL_ONLY sí
Después de la configuración anterior, los usuarios normales tendrán prohibido demandar a root. Si desea especificar un usuario normal para su a root, puede ejecutar el siguiente comando para agregar el usuario al grupo de ruedas:
usermod -G rueda nombre de usuario
3. Ejemplos
[raíz@titan ~]# id manzana
uid=1001(manzana) gid=1001(fruta) 组=1001(fruta),10(rueda)
[root@titan ~]# id banana
uid=1002(plátano) gid=1001(fruta) 组=1001(fruta)
[manzana@titan ~]$ su - raíz
contraseña:
[raíz@titan ~]#
[banana@titan ~]$ su - raíz
contraseña:
su: permiso denegado
[banana@titan ~]$