允許 user1 在沒有密碼的情況下“su - user2”

我需要允許使用者martin切換到martin-test沒有密碼的使用者

su - martin-test

我認為這可以在/etc/pam.d/su. 該文件中已經有一些行可以取消註釋。但是，我不喜歡將 user 添加martin到 group的想法wheel。除了能夠martin切換到martin-test. 我也不想用sudo。

martin在保持使用者特權最小化的同時，最好的方法是什麼？

pam_rootok.so在你的行下面添加以下行/etc/pam.d/su：

auth  [success=ignore default=1] pam_succeed_if.so user = martin-test
auth  sufficient                 pam_succeed_if.so use_uid user = martin

這些行使用pam_succeed_if.so模組執行檢查。另請參閱Linux-PAM 配置文件語法以了解有關這些auth行的更多資訊。

• 第一行檢查目標使用者是否為martin-test. 如果沒有任何反應（success=ignore），我們可以繼續下一行檢查目前使用者。如果不是，則將跳過下一行 ( default=1)，我們可以使用通常的身份驗證步驟繼續後續行。
• 第二行檢查目前使用者是否是martin，如果是，則係統認為認證過程成功並返回（sufficient），如果不是，則沒有任何反應，我們繼續執行後續的認證步驟。

您還可以限製su到一個組，這裡的組allowedpeople可以su沒有密碼：

auth sufficient pam_succeed_if.so use_uid user ingroup allowedpeople

引用自：https://unix.stackexchange.com/questions/113754