如何在不允许 root 访问的情况下允许一个用户 su 到另一个用户？

是的，这是可能的。

在/etc/sudoers中，紧跟在等号后面的项目是允许执行命令的用户。

tom  ALL=(oracle) /bin/chown tom *

用户 (tom) 可以键入sudo -u oracle /bin/chown tom /home/oracle/oraclefile

添加到您的 /etc/sudoers 类似

tom ALL=(oracle) ALL

然后用户 tom 应该能够使用 sudo 以带有 -u 选项的用户 oracle 运行东西，而不让 tom

即以用户 oracle 的身份获取 shell（好吧，鉴于您的 sudo 足够新，可以使用 -i 选项）。

sudo -u oracle -i

要仅提供问题中的功能，请将以下内容添加到 /etc/sudoers：

tom            ALL=(oracle)    /bin/bash

然后汤姆可以：

sudo -u oracle bash -i

例如，我想允许 DBA 的 Tom su 到 oracle 用户，但不允许 tomcat 用户或 root。

我最近需要对系统执行此操作，并且很难找到关于我多年前使用的备用设置的注释，该设置也允许使用该语法su <user>。在我的情况下，我需要允许多个用户访问su特定用户。

addgroup <groupName>使用其他用户su无需密码即可创建组。然后将该组添加到您希望su无需密码即可添加到该用户的每个用户：（ usermod -a -G <groupName> <userName>或usermod -a -G oracle tom）。在下次登录之前，组更改可能不会生效。

注意：在您的情况下，您已经拥有该组，因为oracle当您使用adduser oracle.

现在编辑/etc/pam.d/su并在以下内容下：

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

..add auth 规则行，因此该部分如下所示：

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
auth       [success=ignore default=1] pam_succeed_if.so user = <groupName>
auth       sufficient   pam_succeed_if.so use_uid user ingroup <groupName>

在这种情况下替换<groupName>为。oracle这将允许<groupName>属于su <groupName>

现在tom可以su oracle并且如果您需要为其他用户提供相同的访问权限，请将它们添加到oracle组中。

类似的问题在这里