我正在创建一个具有受限 bash 的用户。我已根据要求屏蔽了除少数命令之外的所有命令。
现在,如果我想使用 更改为 root su - root,即使密码正确,也会显示权限被拒绝。除了审计日志外,没有其他日志:
启用 selinux 后:
type=USER_AUTH msg=audit(1586888162.535:138142): pid=7433 uid=1022 auid=1022 ses=1432 subj=system_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/su" hostname=localhost addr=? terminal=pts/2 res=failed'
type=SYSCALL msg=audit(1586888164.420:138143): arch=c000003e syscall=2 success=yes exit=3 a0=5570501b8270 a1=1 a2=1d09 a3=5e95fde4 items=1 ppid=6219 pid=7433 auid=1022 uid=1022 gid=1021 euid=0 suid=0 fsuid=0 egid=1021 sgid=1021 fsgid=1021 tty=pts2 ses=1432 comm="su" exe="/usr/bin/su" subj=system_u:unconfined_r:unconfined_t:s0 key="session"
禁用 selinux 后:
type=USER_AUTH msg=audit(1586892761.375:2598): pid=22286 uid=1022 auid=1022 ses=11 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/su" hostname=localhost addr=? terminal=pts/1 res=failed'
type=SYSCALL msg=audit(1586892763.583:2599): arch=c000003e syscall=2 success=yes exit=3 a0=55ab87b90270 a1=1 a2=570e a3=5e960fdb items=1 ppid=14412 pid=22286 auid=1022 uid=1022 gid=1021 euid=0 suid=0 fsuid=0 egid=1021 sgid=1021 fsgid=1021 tty=pts1 ses=11 comm="su" exe="/usr/bin/su" key="session"
我尝试从 login.defs 启用 su 日志记录,还启用了重定向到 syslog 的 su 日志记录。但似乎都不起作用。我找不到su失败的原因。我目前猜测这是一个受限制的 bash,可能是在执行 su 时无法更改 bash。只是猜测。
因此,为了尝试另一种方法,我在 sudoers 文件中为上述内容添加了一个条目,并且sudo su -运行良好。但它采用的是当前用户的密码,而不是目标用户的密码。这将是另一个问题。
因此需要帮助,要么启用 su 日志记录,要么从受限 bash 登录,要么在执行时询问目标用户的密码sudo su。
笔记:
- 操作系统是 RHEL 7。
- selinux 目前已被禁用。