限制用户root权限：Linux su 安全研究（linuxsu限制）

在linux操作系统中，su指令允许用户以root用户的身份进行操作，作为一项重要的系统操作，限制su的使用有助于提高系统的安全性。本文将介绍如何限制用户root权限，从而获得更高的安全性。

首先，我们建议修改/etc/pam.d/su文件来更改su命令的操作级别，其实就是禁止非root用户使用su指令来切换用户。默认的/etc/pam.d/su文件中的内容如下：

auth       sufficient     pam_rootok.so #授权允许 
auth       required      pam_wheel.so  #只允许wheel组的用户
auth       include       system-auth #从system-auth获取授权
  
account    required      pam_wheel.so  #只允许wheel组的用户
account    include       system-auth #从system-auth获取账号控制参数

如果要限制所有用户的su操作，我们将更改su文件中的内容，将pam_wheel.so中的auth选项改为required，并添加以下行：

auth       required      pam_wheel.so use_uid

以上操作可以防止非wheel组用户使用su切换到root用户，但是root用户仍然可以使用。所以，我们可以采取进一步的措施来限制root用户的权限，诸如改变root的登录shell为/sbin/nologin或/bin/false等。这么做的原因是，当root登录shell为/sbin/nologin或/bin/false时，即使系统暴露了root用户的密码，也无法使用此密码登录到系统中。

此外，限制su权限时需要注意一些事项，比如，如果是系统管理员，你可能需要手动更改/etc/group文件，将你自己加入wheel组，以便有使用su权限。

总而言之，限制su的使用是提高Linux系统安全性的一种有效方法，可以有效防止root用户的攻击。通过更改/etc/pam.d/su文件，设置root的登录shell等措施，可以有效禁止非root用户使用su指令进行操作，进而实现安全的系统操作。