[Linux]如何限制只有特定群組的user才能變成root

1.開啟PuTTY連到您的Linux主機，用您的帳號登入後，切換為root身份，修改/etc/pam.d/su

su - root
vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required /lib/security/$ISA/pam_wheel.so use_uid
將auth前面的＃拿掉，存檔後立即生效

2.測試：原先的PuTTY先不要關掉(保持在root身份狀態)，請再開啟一個新PuTTY連到主機，用您的帳號再登入一次，測試能否成功執行su - root

3.修正：回到原先的PuTTY視窗（這時還是root身份），將您的帳號加到wheel群組，如
usermod -a -G wheel sysadmin

4.應用：後續如果有其他人也需要切換為root身份，例如您的代理人，則可以將他的帳號也加入wheel群組即可
usermod -a -G wheel backupadm

smilie

使用usermod記得養成加上-a的習慣，因為usermod -G 會將使用者加入後面的群組清單，如果您只是給新的群組清單，則他將會被從舊的群組移出。這可能會讓您被移出wheel群組，導致您無法切換為root！

參考資料：http://www.l-penguin.idv.tw/~steven/article/pam_whell.htm

如果日後要將使用者移出wheel群組
可以透過vi /etc/group方式將使用者帳號由wheel:那列刪除。
如果該使用者只有多加入wheel群組，則可以用下列指令來處理：

usermod -G "" username

即將群組名稱設為空字串即可。