Início / unix / Perguntas / 792302
Accepted
aluriak
Asked: 2025-03-12 00:38:26 +0800 CST

obter cadeia de usuários criada por encadeamento de chamadas su

  • 772

Ao administrar um servidor Linux (um servidor Debian, por exemplo), eu frequentemente troco de usuários. Às vezes, eu encadeio várias trocas de usuários:

aluriak$ sudo -s
root$ […]
root$ su aluriak
aluriak$ […]
aluriak$ su db
db$ […]
db$ <ctrl-D>
aluriak$ su front
front$ […]

Existe alguma maneira de obter a "cadeia de usuários" que criei dessa maneira?

No exemplo acima, esse utilitário hipotético produziria algo como front aluriak root aluriak, porque eu sou o usuário frontal, que fez login como usuário aluriak, que fez login como conta root, que foi acessado pela conta aluriak.

command-line

4 respostas

  1. Best Answer

    Supondo que você queira apenas a cadeia de processos atualmente ativa, você também pode usarpstree -s -u $$

    Da página do pstreemanual :

       -s     Show parent processes of the specified process.

    Isso listará os processos pais — exatamente o que é desejado aqui.

       -u     Show uid transitions.  Whenever the uid of a process
          differs from the uid of its parent, the new uid is shown in
          parentheses after the process name.

    Novamente - exatamente o que é desejado.

    Exemplo de saída pstree -s -u $$em um sistema Ubuntu 22:

    systemd───systemd(ahenle)───gnome-terminal-───bash───pstree

    Observe que o novo nome de usuário é listado entre parênteses após o nome do processo, não o UID como a página man declara. Um teste rápido em instâncias Centos 7 e RHEL 9 mostra o mesmo comportamento - um nome de usuário é emitido em vez do UID.

    Você pode adicionar a -popção de adicionar os pids, se desejar.

       -p     Show PIDs.  PIDs are shown as decimal numbers in
          parentheses after each process name.  -p implicitly
          disables compaction.

    Exemplo de saída de pstree -p -s -u $$, novamente em um sistema Ubuntu 22:

    systemd(1)───systemd(4651,ahenle)───gnome-terminal-(824170)───bash(824177)───pstree(3825436)
    • 8

  2. Uma solução é consultar os logs de autenticação do sistema, como /var/log/auth.log, para obter linhas como:

    su: (to aluriak) root on pts/1
su: (to root) aluriak on pts/1
su: (to db) root on pts/1
su: pam_unix(su:session): session closed for user db
su: pam_unix(su:session): session closed for user root
su: pam_unix(su:session): session closed for user aluriak

    Como os logs são ordenados por tempo, é possível refazer as ações de login/logout e, portanto, listar cada etapa. As pts/1informações fornecem o número da sessão para evitar misturar duas sessões. Você pode obter sua sessão usando tty.

    • 3

  3. a resposta é rastreável em /var/log/audit/audit.loga menos que você tenha feito systemctl disable | stop> auditd. Será evidente nos campos UIDe AUIDpara os exe=/usr/bin/suitens.

    bem como /var/log/secure{no RHEL 8} para as su:sessionlinhas

    • 3

  4. Como este é Linux, você tem um /procsistema de arquivos. Se você tem acesso às entradas de outros processos (normalmente, se você se tornar o usuário root), então você pode examinar as SUDO_*variáveis ​​no ambiente de cada processo ancestral.

    Essas variáveis ​​são definidas por sudo:

    • SUDO_COMMAND
    • SUDO_GID
    • SUDO_HOME
    • SUDO_UID
    • SUDO_USER

    O que nos interessa é SUDO_USER.

    Então, precisamos apenas examinar a cadeia de processos pais para encontrar onde SUDO_USERas mudanças de valor. Então, inverta o resultado com tacpara mostrar o usuário atual por último:

    #!/bin/sh

set -eu

pid=$$
while pid=$(ps -o ppid= -p $pid) && [ -r "/proc/$pid/environ" ]
do tr '\0' '\n' <"/proc/$pid/environ" | sed -n 's/^SUDO_USER=//p'
done | uniq | tac
    • 2

relate perguntas