如果您已经向数据中心添加了Linux，或者您只是为您的业务使用了一台Linux机器，那么您需要确保它是尽可能安全的。当然，每个人都认为Linux是地球上最安全的平台之一。或许可能真的安全，但是您还事需要做许多事情来进一步提高Linux的安全性。

一个技巧是限制对su命令的访问。通过使用su命令，用户可以从一个用户更改为另一个用户(如果他们有另一个用户的密码)。为什么这很重要?你可能有某些用户管理员组中有完全访问特定目录(其中一些可能包含敏感数据)，并且不希望不在该组中的用户能够切换到用户（通过使用su命令），然后获得对该信息的访问权限。

这个技巧可以在任何Linux发行版上完成，但我将在Ubuntu Server平台上进行演示。 我们将创建一个新组，将用户添加到该组，然后限制对该组su命令的访问。

但是我们如何限制对su命令的访问？ 这实际上非常简单。 让我演示给你看。

我们将首先在我们的服务器（或桌面）上创建一个新组。 为此，请打开终端窗口并发出命令：

sudo groupadd admin

您现在已将新组添加到系统中。 如果您发现管理组已存在，则可能必须创建具有不同名称的组。

假设我们有用户linuxidc.com，我们想将他添加到新组，以便他可以访问su命令。 对此的命令是：

sudo usermod -a -G admin linuxidc.com

运行该命令后，用户linuxidc.com将成为admin组的成员。

现在我们需要允许管理组中的那些人访问su命令。 这可以使用单个命令完成。 返回终端窗口，发出以下命令：

sudo dpkg-statoverride --update --add root admin 4750 /bin/su

从终端窗口登录为用户linuxidc.com。如果您试图为该用户使用su命令，那么将允许使用该命令。为什么?因为linuxidc是admin组的成员，admin组可以访问su，但是如果你以另一个用户的身份登录并尝试使用su命令，会被拒绝，为什么?因为只有admin组中的成员才能访问su。

这就是限制在Linux中访问su命令的全部内容。 虽然这不是您为了加强Linux安装而需要采取的唯一步骤，但它肯定会阻止用户访问可以将其权限提升到他们不应具有的级别的工具。

原文来自：https://www.linuxidc.com/Linux/2019-01/156225.htm

本文地址：https://www.linuxprobe.com/access-su-command.html编辑：黑曜羽，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/