Linux下禁用su切换用户设置方法

本文深入解析了在Linux系统中安全限制su命令切换用户的核心方法，强调修改/etc/pam.d/su文件是唯一可靠且防绕过的技术路径：既可通过注释全部auth行彻底禁用su（包括root自身），也可启用pam_wheel.so实现wheel组白名单控制，或借助pam_listfile.so精确指定允许/禁止的个别用户；同时提醒读者，禁用su绝非孤立操作——必须提前验证sudo、runuser等替代提权方式的有效性，避免因配置失误导致系统管理锁死，兼顾安全性与运维可用性。

最简可靠方式是修改 /etc/pam.d/su，注释所有 auth 行或启用 pam_wheel.so 限制 wheel 组，配合 SU_WHEEL_ONLY 或 pam_listfile.so 实现白名单控制，禁用 su 后须确保 sudo 等替代路径可用。

直接禁用 su 命令的最简方式

想彻底不让任何人用 su 切换用户？改 /etc/pam.d/su 是唯一可靠路径。其他方法（如删命令、改权限）容易被绕过，且可能破坏系统工具链。

操作就是注释掉该文件里所有以 auth 开头的有效行，例如：

auth [default=ignore] pam_deny.so

或者更常见的是直接注释原 auth 行：

# auth       [success=ok default=bad] pam_wheel.so use_uid

这样即使输入正确的 root 密码，su 也会立即失败并记录到 /var/log/auth.log。注意：此操作后，root 也无法用 su - 切自己，必须依赖 sudo 或直接登录。

只允许 wheel 组用户使用 su

这是生产环境最常用的折中方案——既不限死权限，又守住最小授权原则。

• 把可信用户加进 wheel 组：usermod -aG wheel username
• 编辑 /etc/pam.d/su，取消注释这行：auth required pam_wheel.so use_uid
• 可选加固：在 /etc/login.defs 中追加 SU_WHEEL_ONLY yes，让策略更明确

没加组的用户执行 su - 时，无论密码对错，都会提示 Permission denied，且不会暴露账户是否存在——这点比单纯靠密码验证更安全。

用 pam_listfile.so 精确控制白名单/黑名单

当 wheel 组太粗、而你只想放行 2–3 个特定账号时，pam_listfile.so 更精准。

例如只允许 admin1 和 backup 使用 su：

• 创建白名单文件：echo -e "admin1\nbackup" > /etc/security/su.allow
• 在 /etc/pam.d/su 顶部添加一行：auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/su.allow

注意：sense=allow 表示“只允许列表里的”，sense=deny 才是拒绝；onerr=fail 确保文件出错时默认拒绝，避免配置失误导致开门。

禁用 su 后仍能提权的替代路径

禁了 su 不等于锁死所有提权能力，运维仍需留出合法通道，否则会把自己关在外面。

• sudo -i 或 sudo su -（前提是已配好 /etc/sudoers）
• runuser -l root -c 'command'：不走 PAM，但要求调用者有对应 sudo 权限
• SSH 直连：ssh root@localhost（若未禁用 root SSH 登录）

真正危险的是同时禁掉 su 又没配好 sudo，结果连 root 都进不去。务必在修改前确认至少一种替代方式已测试通过——比如用另一个终端先 sudo -l 验证权限，再动 /etc/pam.d/su。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Linux下禁用su切换用户设置方法》文章吧，也可关注golang学习网公众号了解相关技术文章。