系统管理员指南：使用sugroup控制su访问(1)

系统管理员指南：使用sugroup控制su访问(1)

使用 sugroup 让系统管理员能够通过组成员限制谁可以使用 su 访问哪个账户。可以使用 NOT 操作符对访问控制进行进一步限制。在接受审计时，需要报告 sugroup 中有哪些成员以及他们可以使用 su 访问哪些账户。这包括生成 sugroup 成员访问报告，这一般是遵从性任务。

sugroup 概述

系统管理员可以向用户提供 su 访问权，让用户能够切换为另一个用户，而不需要注销当前账户。通常，通过设置 su 账户让用户可以临时切换为另一个账户，例如 root 用户或应用程序所有者。但是，随着应用程序支持工作量的增长，系统的维护开销也会增加。可以使用 sugroup 简化 su 权限的管理，因为处理的是组而不是大量单独的用户。

使用 sugroup 让系统管理员可以把某些用户分组在一起，向他们授予通过 su 访问不同账户的权力。用户是否是某个 AIX® 组的成员决定他是否有 su 访问权。在创建用户时，可以通过用户属性指定一个 sugroup；只有这个组的成员才能通过 su 变成这个用户。当然，执行 su 的用户需要知道密码。不属于指定的 sugroup 的其他用户不能通过 su 变成此用户，即使知道用户的密码也不行。

某些系统的安全策略可能不允许向其他用户泄露密码。在这种情况下，可以使用 sudo。稍后讨论此问题。