获取通过链接 su 调用创建的用户链

假设你只想要当前活动的进程链，你也可以使用pstree -s -u $$

来自手册pstree页：

   -s     Show parent processes of the specified process.

这将列出父进程——正是这里所需要的。

   -u     Show uid transitions.  Whenever the uid of a process
          differs from the uid of its parent, the new uid is shown in
          parentheses after the process name.

再次强调——这正是我们想要的。

pstree -s -u $$Ubuntu 22 系统上的示例输出：

systemd───systemd(ahenle)───gnome-terminal-───bash───pstree

请注意，新用户名列在进程名称后的括号中，而不是手册页所述的 UID。在 Centos 7 和 RHEL 9 实例上进行的快速测试显示了相同的行为 - 发出的是用户名而不是 UID。

如果需要，您可以添加-p添加 pid 的选项。

   -p     Show PIDs.  PIDs are shown as decimal numbers in
          parentheses after each process name.  -p implicitly
          disables compaction.

pstree -p -s -u $$同样是在 Ubuntu 22 系统上的示例输出：

systemd(1)───systemd(4651,ahenle)───gnome-terminal-(824170)───bash(824177)───pstree(3825436)

一个解决方案是查看系统的身份验证日志，例如/var/log/auth.log，获取如下行：

su: (to aluriak) root on pts/1
su: (to root) aluriak on pts/1
su: (to db) root on pts/1
su: pam_unix(su:session): session closed for user db
su: pam_unix(su:session): session closed for user root
su: pam_unix(su:session): session closed for user aluriak

由于日志按时间排序，因此可以追溯登录/注销操作，并列出每个步骤。信息pts/1提供了会话编号，以避免混淆两个会话。您可以使用 获取您的会话tty。

除非您已完成，否则答案是可追溯的。它将在项目的和字段中显而易见。/var/log/audit/audit.logsystemctl disable | stop> auditdUIDAUIDexe=/usr/bin/su

以及/var/log/secure{在 RHEL 8 中} 的su:session行

因为这是 Linux，所以您有一个/proc文件系统。如果您有权访问其他进程的条目（通常，如果您成为 root 用户），那么您可以检查SUDO_*每个祖先进程环境中的变量。

这些变量由以下方式设置sudo：

• SUDO_COMMAND
• SUDO_GID
• SUDO_HOME
• SUDO_UID
• SUDO_USER

我们感兴趣的是SUDO_USER。

因此，我们只需要检查父进程链以找到SUDO_USER更改值的位置。然后反转结果以tac显示当前用户最后：

#!/bin/sh

set -eu

pid=$$
while pid=$(ps -o ppid= -p $pid) && [ -r "/proc/$pid/environ" ]
do tr '\0' '\n' <"/proc/$pid/environ" | sed -n 's/^SUDO_USER=//p'
done | uniq | tac