Author: Mingyu Zhu

步骤一：创建可以使用 su 命令的组

# gourpadd whocansu

（补充：这里以创建组 whocansu 为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

# usermod -a -G whocansu zhumingyu

或者：

# usermod -aG whocansu zhumingyu

（补充：这里以将用户 zhumingyu 添加到 whocansu 组为例）

步骤三：设置着只让某个组队用户可以使用 su 命令

# vim /etc/pam.d/su

在此行下面：

......
# Uncomment the following line to require a user to be in the "wheel" group.
......

将以下内容

......
# auth required pam_wheel.so use_uid
......

修改为：

......
auth required pam_wheel.so use_uid group=whocansu
......

（补充：这里以只允许组 whocansu 可以使用 su 命令为例）

（
注意：
1) 此时如果用户有 sudo su 权限的话，那么依旧可以通过 sudo su 命令切换到 root
2) RockyLinux & RHEL 的 /etc/pam.d/su 文件里的每行都有严格的顺序，如果顺序错误，则所有用户都将不能再使用 su 命令，包括 sudo su 命令
）

步骤一：创建可以使用 su 命令的组

# gourpadd whocansu

（补充：这里以创建组 whocansu 为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

# usermod -a -G whocansu zhumingyu

或者：

# usermod -aG whocansu zhumingyu

（补充：这里以将用户 zhumingyu 添加到 whocansu 组为例）

步骤三：设置着只让某个组队用户可以使用 su 命令

# vim /etc/pam.d/su

添加以下内容：

#%PAM-1.0
auth required pam_wheel.so use_uid group=whocansu
......

（补充：这里以只允许组 whocansu 可以使用 su 命令为例）

（注意：此时如果用户有 sudo su 权限的话，那么依旧可以通过 sudo su 命令切换到 root）