避免用户运行系统的 su 实用程序

虽然 sesu 实用程序已进行了配置，但所有用户还是可以使用 root 用户的密码或某个用户的密码运行 su.ORIG（重新命名的系统 su 实用程序）。为了避免这种情况，可以使用 PROGRAM 类显式阻止在 CA ControlMinder 运行时执行 su.ORIG。

注意：如果您在安装和配置 CA ControlMinder 时使用了 seuidpgm，则不必执行该步骤。 su 将不会运行，因为它已被修改（重新命名为 su.ORIG）。

避免用户运行系统的 su 实用程序

在 selang 中，使用以下命令设置 CA ControlMinder 监控已重新命名的 su 实用程序：
```
nr program su_dir/su.ORIG defacc(x) own(nobody)
```
以 root 用户的身份登录，使用以下命令更改文件访问和修改时间：
```
touch su_dir/su.ORIG
```
CA ControlMinder 将监视 su.ORIG，并且因为已经使用 touch 命令对文件进行了更改，CA ControlMinder 还将阻止执行该文件。