设置只允许wheel组su到root的问题(/etc/pam.d/su和/etc/login.defs的问题)

如果要只允许wheel组可以su到root用户，需要在/etc/pam.d/su文件里有这两行：

  auth sufficient /lib/security/pam_rootok.so debug
  auth required /lib/security/pam_wheel.so group=wheel
复制代码 然后wheel组的用户就可以su到root，非wheel组的用户就不可以。

另外我查到在/etc/login.defs里增加一行：

SU_WHEEL_ONLY yes
复制代码 这一行的意思是只允许gid为0(也就是root组)的用户可以su到root用户，而wheel组的id为10。

我同时有这两个设置，wheelo组的用户仍然可以su到root，不知道/etc/login.defs下的这个设置有什么用？
我还发现，用了这两个设置以后，如果一个用户属于root组，而不属于wheel组，那么他是不能su到root的。 [ 本帖最后由 sailer_sh 于 2008-10-14 14:29 编辑 ]