user1 хочет использовать su для пользователя user2 (оба не root). Когда user1 запускается su - user2
, как и ожидалось, ему предлагается ввести пароль пользователя 2, но пароль никогда не принимается.
user1@host $ su - user2 (switch from user1 to user2)
Password:
su: incorrect password
user1@host $
user2 - действительная, разблокированная учетная запись с реальной оболочкой, указанной в /etc/passwd
. Вы можете использовать SSH как user2 в поле (ssh user2@host
). Кроме того, в моем тестировании user1 и user2 имеют один и тот же пароль, поэтому дело не в несоответствии пароля (предоставление пароля user2, когда ожидается user1, или наоборот).
Как ни странно, pam_tally2
увеличивает количество неудачных попыток входа пользователя user2, но ничего не регистрируется /var/log/secure
. В этом отношении, ничего зарегистрирован во что-либо еще в /var/log
, либо.
Я могу обойти это, добавив эту строку в sudoers:
user1 ALL=(ALL) /bin/su
... и запустив команду с помощью sudo:
user1@host $ sudo su - user2
Однако я хотел бы узнать, почему я не могу просто запустить su.
Это блок RHEL5, в котором STIG автоматически применяется с Aqueduct, поэтому я не уверен, что было бы изменено в /etc/pam.d
.
Не имея твоего /etc/pam.d/su
Я могу только догадываться, что:
su
ограничивается wheel
группа, использующая auth required pam_wheel.so
Для подсказки, как использовать pam_tally2
в RHEL5 проверьте Вот,