openEuler操作系统su-root报错
今天客户找到我,说是他从普通用户su - root报错。这个问题挺经典记录一下处理的过程
客户的操作系统是openEuler操作系统。
报错如下:所示
1 | [omm@Zxyyqzserver ~]$ su - |
在客户尝试了几次之后,直接是把root给锁定了,还好之前己经打开过一个root连接窗口,这里直接使用命令解锁一下。
1 | [root@Zxyyqzserver ~]# faillock |
既然是报权限错误,那么一定是缺少了相应的权限。
检查/etc/pam.d/su中是否配置了非wheel组用户账号禁止使用su:
1 | # grep pam_wheel.so /etc/pam.d/su | grep required |
确认了一下,是欧拉系统做了加固secure-configuration-benchmark/release/openEuler安全配置基线.md · openEuler/security-committee - Gitee.com
欧拉系统安全基线说明
su命令可以使一个普通用户拥有超级用户或其他用户的权限,它经常被用于从普通用户账号切换到系统root账号。su命令为用户变更身份提供了便捷的途径,但如果不加约束的使用su命令,会给系统带来潜在的风险。通过对用户使用su访问root账号的权限进行限制,仅对部分账号进行su使用授权,可以提高系统账号使用的安全性。
openEuler默认仅允许wheel组中的普通用户具有su的使用权限。
修复方法1:
全局修改,以后普通用户都能su - root
修改/etc/pam.d/su配置文件,配置非wheel组用户账号禁止使用su(就是加#号注释掉这行)
1 | # vim /etc/pam.d/su |
修复方法2:
只针对当前omm用户,把该用户加到wheel组即可
1 | [root@Zxyyqzserver ~]# usermod -G wheel omm |
欢迎联系我一起讨论。我的微信号:Eric_xu_2023
也欢迎关注我的公众号:
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Related Articles
2025-11-28
Oracle 11g 处理AUD$空间过大问题
查看SYSTEM表空间占用空间排名前10的段是否有AUD$以及FGA_LOG$ 123456SELECT *FROM (SELECT BYTES, segment_name, segment_type, ownerFROM dba_segmentsWHERE tablespace_name = ‘SYSTEM’ORDER BY BYTES DESC)WHERE ROWNUM < 10; aud$表及FGA_LOG$数据量 1select segment_name,bytes/1024/1024 size_in_megabytes from dba_segments where segment_name in (‘AUD$’,‘FGA_LOG$’); 查询表,truncate该表释放 123select count(*) from aud$;truncate table aud$;select count(*) from aud$; aud$表及FGA_LOG$移动到新tablespace,&AUD_TBS_NAME表示新的表空间名 迁移AUD$表 123456...
2025-10-10
Centos7_x86一键更新openssh10.1p1
如何完成一键更新OPENSSH我己经制作好了一键安装脚本和RPM软件包,完美适配centos7/8 想要获取一键安装包可以关注我的公众号联系我获取 openssh更新了啥?OpenSSH 10.1 版本核心变更对照表 变更类型 涉及组件 关键影响与核心内容 未来弃用警告 全组件 弃用SHA1格式SSHFP记录,仅保留SHA256格式;SHA256自2012年OpenSSH 6.1起已支持。 潜在不兼容变更 ssh(1) 非后量子密钥协商算法触发警告,可通过WarnWeakCrypto配置控制(默认开启)。 ssh(1)、sshd(8) DSCP/IPQoS逻辑重构:交互式流量默认用EF类别,非交互式用系统默认,支持动态切换。 ssh(1)、sshd(8) 弃用IPQoS中的ToS关键字(lowdelay/reliability/throughput),改用DSCP。 ssh-add(1) 证书过期时间+5分钟宽限期,代理自动清理过期证书;ssh-add -N可禁用此功能。 全组件 移...
2025-10-11
DBA必掌握的小技巧-分区满了如何处理1-删除home扩容根分区
故障发生了!今天DBA小倩接到一个客户紧急任务,客户说自己的业务数据库突然不好使了,连接也出现了问题,开发人员连库就报这个错 小倩要来了系统的登录用户名密码,登录到了数据库服务器一看 好家伙!根目录满了。 仔细检查发现,之前软件实施的人员把数据库直接装到了根目录下,最后导致根目录空间耗尽,数据库无法写入审计文件,无法登录了。 123456789101112[root@dbserver /]# df -ThFilesystem Type Size Used Avail Use% Mounted ondevtmpfs devtmpfs 1.9G 0 1.9G 0% /devtmpfs tmpfs 1.9G 0 1.9G 0% /dev/shmtmpfs tmpfs 1.9G 12M 1.9G 1% /runtmpfs tmpfs 1.9G ...
2025-10-16
OracleLinux快速配置多路径multipath
多路径multipath作用使用设备映射器多路径(DM Multipath),您可以将服务器节点和存储阵列间的多个 I/O 路径配置为单一设备。这些 I/O 路径是可包含独立电缆、交换机和控制器的物理 SAN 连接。多路径聚合了 I/O 路径并生成由聚合路径组成的新设备。 比如按下图所示: server主机通过2个hba卡分别接到2台SAN交换机,2台SAN交换机又分别接了存储的控制器1和2. 此时从存储1映射给主机的1个LUN就会识别到多个路径,变成4块磁盘。为了达到高可用冗余的效果,就需要把多个磁盘聚合成一个设备来使用,这样任何一条路径发生故障,都不会影响业务运行。 多路径软件分为Linux操作系统自带的multipath和存储厂商提供的专用多路径软件。 常见的比如华为的UltraPath、EMC的power path、ibm存储的SDDPCM(AIX下特有)、Veritas的StorageFoundation 用存储厂商的好处就是能针对自家的存储做负载链路优化,可以自动屏蔽质量有问题的链路(这点multipathd不具备,经常会出现一条链路...
2025-10-11
DBA必掌握的小技巧-分区满了如何处理2-迁移到新存储
前情提要话说上次DBA小倩通过删除home lv,把空间扩给了/分区,问题暂时得到了解决。 没过几天,领导找到小倩下达任务,客户说数据库在本地磁盘空间太小了又快要满了,由于之前用的服务器本地磁盘,性能也比较差,现在不想扩展服务器本地硬盘了。正好这台服务器有HBA卡,客户从别的高端存储上划了个2TB的LUN过来,映射给这台数据库服务器,想让DBA小倩来做一下数据迁移,当然停机时间己经客户己经安排好了,就差小倩上线了。 准备工作正式停机之前还有一些准备工作要作,比如先把存储空间挂载到服务器上(后做也可以,用不了多久)。 检查一下当前磁盘空间情况,根目录满上要用光了。 123456789[root@dbserver ~]# df -ThFilesystem Type Size Used Avail Use% Mounted ondevtmpfs devtmpfs 1.9G 0 1.9G 0% /devtmpfs tmpfs 1.9G 259M 1...
2025-10-17
使用Oracle oswatcher工具监控服务器性能并生成图形报告
关于 OSWOSWatcher 的使用符合 Oracle 的标准许可条款,并且不需要额外的许可即可使用!!!! 关注本人微信公众号,后台回复“oswatcher”获取安装包!! OSWatcher (oswbb) 是一种 UNIX shell 脚本的集合,主要用于收集和归档操作系统和网络的度量,以便为诊断性能问题提供支持。作为最佳实践,用户应当在所有运行着 Oracle 实例的节点安装和运行 OSWatcher。当诊断性能问题的时候, Oracle support 可以采用 OSWatcher 数据来诊断那些可能已经超出数据库之外的性能问题。OSWatcher 可以从 MOS Note 301137.1 下载 作为最佳实践,Oracle Support 建议所有用户在其运行 Oracle 的服务器上部署 OSWatcher。OSWatcher 应被视为任何数据收集可能存在的附加或补充。主要原因是,如果 Oracle Support 不得不向开发提交一个 Bug,那么开发很可能会坚持要求提供 OSWatcher 数据。如果没有,该 Bug 可能无法继续分析,直到安装了 OSWat...
Comments
Announcement
Follow my WeChat Official Account! 
