1 修改su 的pam.d 文件
[root@bogon ~]# vi /etc/pam.d/su
将用户加入到wheel组
[root@bogon ~]# usermod -G wheel radmin
2修改/etc/sudoers文件,添加日志记录支持
[root@bogon ~]# vim /etc/sudoers
Cmnd_Alias ALLOW_CMD = /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod -
*, /usr/bin/passwd [a-zA-Z]*
Cmnd_Alias DENY_CMD = !/usr/bin/passwd root,!/usr/sbin/usermod -* root zhangsan
ALL=ALLOW_CMD, DENY_CMD
lisi ALL=NOPASSWD:/usr/sbin/*, /sbin/*
添加日志记录支持
Defaults logfile = "/var/log/sudo"
4修改 /etc/syslog.conf
local2.debug /var/log/sudo
重启syslog服务
验证:
radmin 用户能切换 root用户,其他不能
Zhangsan用户被拒绝
lisi 用户能修改IP地址
用户wangwu 不在sudoers文件,无权修改
