web-dev-qa-db-ja.com

通常のユーザーアカウント間のsuが「su:不正なパスワード」で失敗する

user1は、user2にsuしたいと考えています(どちらも非rootです)。 user1が_su - user2_を実行すると、user2のパスワードの入力を求められますが、パスワードは受け入れられません。

_user1@Host $  su - user2   (switch from user1 to user2)
Password:
su: incorrect password
user1@Host $
_

user2は、実際のシェルが_/etc/passwd_で指定されている有効なロック解除されたアカウントです。ボックスにuser2としてSSHで接続できます(_ssh user2@Host_)。また、私のテストでは、user1とuser2が同じパスワードを持っているため、パスワードの不一致は問題になりません(user1が予期されているときにuser2のパスワードを指定するか、またはその逆)。

奇妙なことに、_pam_tally2_はuser2の失敗したログインをインクリメントしますが、_/var/log/secure_には何も記録されません。そのことについては、 何もない _/var/log_の他の何にも記録されます。

これを回避するには、次の行をsudoersに追加します。
user1 ALL=(ALL) /bin/su

...そしてSudoでコマンドを実行します:
_user1@Host $ Sudo su - user2_

ただし、なぜsuを実行できないのかを知りたいのですが。

これは、Aqueductで自動的にSTIGが適用されるRHEL5ボックスなので、_/etc/pam.d_で何が変更されたのかわかりません。

4
eschatonic

あなたの/etc/pam.d/suがありません。

  • おそらくsuauth required pam_wheel.soを使用してwheelグループに制限されています
  • pAMスタックの設定が間違っている

RHEL5でのpam_tally2の使用方法のヒントについては、 ここ を確認してください。

3
dawud