使用PAM模塊實現普通用戶之間su免密切換

時間：2020-09-03來源：www.farandoo.com作者：電腦系統城

需求：

在user1用戶下執行： su - user2 免密登錄。

我的實驗系統版本：

CentOS Linux release 7

方法：

1
2
3
4 # vim /etc/pam.d/su
#在pam_rootok.so那一行之后添加如下兩行。
auth [success=ignore default=1] pam_succeed_if.so user = user2
auth sufficient pam_succeed_if.so use_uid user = user1

可以理解為：對于名為user2的賬號，如果使用su程序的用戶名為user1，即可以免密登錄

PAM模塊文檔：

1	`# less /usr/share/doc/pam-1.1.8/txts/README.pam_succeed_if`

首先是 use_uid部分

1 2	`Evaluate conditions using the account of the user whose UID the application` `is running under instead of the user being authenticated.`

然后看fields格式

1
2
3
4
5
6
7
8
9 Available fields are user, uid, gid, shell, home, ruser, rhost, tty and service

field > number

Field has a value numerically greater than number.

field in item:item:...

Field is contained in the list of items separated by colons.

據此，還可以實現從user1免密su到uid 為某個范圍的多個系統用戶

實驗：

1
2
3
4
5
6 [root@MyVm] 17:56:55 ~ # id user1
uid=1004(user1) gid=1004(user1) groups=1004(user1)
[root@MyVm] 17:56:59 ~ # id user2
uid=1005(user2) gid=1005(user2) groups=1005(user2)
[root@MyVm] 17:57:00 ~ # id user3
uid=1006(user3) gid=1006(user3) groups=1006(user3)

修改/etc/pam.d/su：

1 2	`auth [success=ignore default=1] pam_succeed_if.so uid >= 1005` `auth sufficient pam_succeed_if.so use_uid user = user1`

可以理解為：對于UID>=1005的賬號，如果使用su程序的用戶名為user1，即可以免密登錄

1
2
3
4
5
6
7 [root@MyVm] 17:57:49 ~ # su - user1
Last login: Thu Sep 3 17:55:47 CST 2020 on pts/1
[user1@MyVm] 17:57:50 ~ $ su - user2
[user2@MyVm] 17:57:52 ~ $ logout
[user1@MyVm] 17:57:53 ~ $ su - user3
Last login: Thu Sep 3 17:55:54 CST 2020 on pts/1
[user3@MyVm] 17:57:55 ~ $ logout