Linuxで特定のユーザ以外suでrootになれないようにする

FreeBSDとかUbuntu使っている時はsudoコマンドでsuになるのを制限すればよかったのに、CentOSだと普通にsuでrootになられてしまった。のでsuでrootになれないように設定したのでメモ。

# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

rootになるのを許可するユーザをwheelグループに追加する。

# usermod -G wheel hamaco

/etc/pam.d/suに以下の様に書かないと有効にならないので追加する。

# vim /etc/pam.d/su
+ auth            required        pam_wheel.so root_only

検索で引っかかる殆どのサイトは、

#auth required pam_wheel.so use_uid

のコメントアウトをはずせば良いと書いてあるけども、これだとrootだけでなく他のユーザにすらsu出来なくなってしまう。
一切suを使用しない場合はこっちでもOK。

追記[2008/06/12]: SU_WHEEL_ONLYにyesがなかったので追加

hamacoの日記