Início / unix / Perguntas / 788273
Accepted
einpoklum
Asked: 2024-12-17 17:35:29 +0800 CST

Usuário adicionado ao grupo wheel, mas não consegue su sem autenticação de senha

  • 772

Em um sistema SLES 15 SP1, adicionei um usuário ao wheelgrupo:

wheel:x:1003:joeuser

no entanto, quando joeuserloga como eles mesmos, então tenta su(se tornar root), eles são solicitados a digitar sua senha. Por que isso pode estar acontecendo?

Aqui está /etc/pam.d/su:

#%PAM-1.0
auth     sufficient     pam_wheel.so trust
auth     sufficient     pam_rootok.so
auth     include        common-auth
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so
root

1 respostas

  1. Best Answer

    Como você está testando as coisas? Você está logando joeuserdiretamente ou está logando como root(ou outro usuário) e então su-ing para a joeuserconta?

    Eu estava tentando reproduzir o comportamento que você descreveu em um contêiner SLES e encontrei com sucesso (?) o mesmo problema:

    testuser@714eeb148216:~> su
Password:

    Ativei a saída de depuração para o pam_wheelmódulo...

    auth      sufficient  pam_wheel.so trust debug

    ...e percebi que estava encontrando este erro:

    pam_wheel(su:auth): who is running me ?!

    E isso porque no meu ambiente de contêiner estava faltando o utmparquivo ( /run/utmp, também conhecido como /var/run/utmp). Ele é usado por pam_wheelpara identificar o usuário que originalmente fez login no tty atual. O arquivo é preenchido pelo loginprograma e deve existir primeiro.

    /run/utmpDepois que eu (a) criei um arquivo vazio e então (b) organizei para loginrodar em um dispositivo pty falso, consegui fazer login como um usuário de teste e susem uma senha:

    testuser@714eeb148216:~> su
714eeb148216:/home/testuser #

    A execução su -ainda falharia até que eu também atualizasse /etc/pam.d/su-l.

    Entretanto: se eu fizer login como roote depois mudar para um usuário sem privilégios:

    714eeb148216 login: root
Password:
Directory: /root
Tue Dec 17 11:43:14 UTC 2024
714eeb148216:~ # groups
root
714eeb148216:~ # su - testuser

    Novamente serei solicitado a digitar uma senha:

    testuser@714eeb148216:~> su
Password:

    Porque:

    pam_wheel(su:auth): Access denied to 'root' for 'root'

    pam_wheelvê que esse rootfoi o usuário que originalmente fez login no terminal, então, mesmo que eu esteja executando sucomo o testuserusuário, pam_wheelele está baseando as decisões na associação ao grupo de root.

    Você pode modificar esse comportamento para que pam_wheelnão consulte /run/utmp(e em vez disso use o uid do processo de chamada para determinar permissões) com a use_uidopção; se eu modificar /etc/pam.d/suassim:

    auth      sufficient  pam_wheel.so trust use_uid debug

    Então o processo acima funciona conforme o esperado.

    • 1

relate perguntas