主页 / unix / 问题 / 788273
Accepted
einpoklum
Asked: 2024-12-17 17:35:29 +0800 CST

用户已添加到 wheel 组,但没有密码验证则无法 su

  • 772

在 SLES 15 SP1 系统上,我已向wheel组添加了一个用户:

wheel:x:1003:joeuser

但是,当joeuser他们以自己的身份登录,然后尝试su(成为 root)时,系统会要求他们输入密码。为什么会发生这种情况?

这里是/etc/pam.d/su

#%PAM-1.0
auth     sufficient     pam_wheel.so trust
auth     sufficient     pam_rootok.so
auth     include        common-auth
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so
root

1 个回答

  1. Best Answer

    您如何测试?您是joeuser直接以 身份登录,还是以 身份(或其他用户)登录root,然后su登录joeuser帐户?

    我尝试在 SLES 容器中重现您描述的行为,并且成功(?)遇到了同样的问题:

    testuser@714eeb148216:~> su
Password:

    我打开了pam_wheel模块的调试输出......

    auth      sufficient  pam_wheel.so trust debug

    ...并注意到我遇到了这个错误:

    pam_wheel(su:auth): who is running me ?!

    这是因为在我的容器环境中我缺少utmp文件(/run/utmp,又名/var/run/utmp)。它用于pam_wheel识别最初在当前 tty 上登录的用户。该文件由login程序填充,并且它必须首先存在。

    一旦我 (a) 创建一个空/run/utmp文件,然后 (b) 安排login在假的 pty 设备上运行,我就可以以测试用户身份登录,而su无需密码:

    testuser@714eeb148216:~> su
714eeb148216:/home/testuser #

    运行su -仍然会失败,直到我也更新了/etc/pam.d/su-l

    但是:如果我以 身份登录root,然后切换到非特权用户:

    714eeb148216 login: root
Password:
Directory: /root
Tue Dec 17 11:43:14 UTC 2024
714eeb148216:~ # groups
root
714eeb148216:~ # su - testuser

    我将再次被提示输入密码:

    testuser@714eeb148216:~> su
Password:

    因为:

    pam_wheel(su:auth): Access denied to 'root' for 'root'

    pam_wheel看到那root是最初登录终端的用户,因此即使我su以该testuser用户身份运行,pam_wheel也会根据的组成员身份做出决定root

    您可以修改此行为,以便pam_wheel不咨询/run/utmp(而是使用调用进程的 uid 来确定权限)该use_uid选项;如果我/etc/pam.d/su像这样修改:

    auth      sufficient  pam_wheel.so trust use_uid debug

    然后上述过程就会按预期进行。

    • 1

相关问题