Scroll to navigation

SU(1) Polecenia użytkownika SU(1)

NAZWA

su - uruchamia polecenie ze zmienionymi identyfikatorami użytkownika i grupy

SKŁADNIA

su [options] [-] [user|UID [argument...]]

OPIS

su pozwala uruchomić polecenie ze zmienionymi identyfikatorami użytkownika i grupy.

Wywołany bez określenia użytkownika, su domyślnie uruchomi powłokę interaktywną jako root. Wskazując użytkownika można podać dodatkowe argumenty, które zostaną przekazane do powłoki.

Ze względu na kompatybilność, su domyślnie nie zmienia bieżącego katalogu, lecz ustawia jedynie zmienne środowiskowe HOME (katalog domowy) i SHELL (powłoka), a jeśli docelowym użytkownikiem nie jest root, dodatkowo USER (użytkownik) i LOGNAME (nazwa logowania). Zaleca się zawsze korzystać z opcji --login (zamiast jej skrótu -), aby uniknąć efektów ubocznych spowodowanych mieszanym środowiskiem.

Niniejsza wersja su do uwierzytelniania oraz do zarządzania kontami i sesją używa PAM. Część opcji konfiguracyjnych, które istnieją w innych implementacjach su, takie jak obsługa grupy wheel, należy ustawić za pomocą PAM.

su jest przeznaczony głównie dla użytkowników nieuprzywilejowanych; zalecanym rozwiązaniem dla użytkowników uprzywilejowanych (np. skryptów wykonywanych przez roota) jest korzystanie z polecenia runuser(1), które nie wykorzystuje uprawnienia ustawienia ID użytkownika podczas wykonania (suid), nie wymaga uwierzytelnienia i udostępnia oddzielną konfigurację PAM. Jeśli sesja PAM nie jest wymagana, zaleca się użycie polecenia setpriv(1).

Proszę zauważyć, że su we wszystkich przypadkach używa PAM (pam_getenvlist(3)) do końcowej zmiany środowiska. Opcje wiersza poleceń takie jak --login i --preserve-environment wpływają na środowisko przed jego zmianą przez PAM.

Od wersji 2.38 su resetuje limity zasobów procesu: RLIMIT_NICE, RLIMIT_RTPRIO, RLIMIT_FSIZE, RLIMIT_AS oraz RLIMIT_NOFILE.

OPCJE

-c, --command polecenie

Pass command to the shell with the -c option. Creates a new session via setsid(2). Refer to --session-command to keep the same session.

-f, --fast

Przekazuje -f powłoce, co może, ale nie musi być przydatne, w zależności od powłoki.

-g, --group grupa

Określa podstawową grupę. Opcja jest dostępna tylko dla użytkownika root.

-G, --supp-group grupa

Określa dodatkową grupę. Opcja jest dostępna tylko dla użytkownika root. Pierwsza podana grupa dodatkowa jest używana jako grupa podstawowa, jeśli nie podano jej opcją --group.

-, -l, --login

Uruchamia powłokę jako powłokę logowania ze środowiskiem podobnym do rzeczywistego logowania.

Note that on systemd(1)-based systems, a new session may be defined as a real entry point to the system. However, su does not create a real session (by PAM) from this point of view. You need to use tools like systemd-run(1) or machinectl(1) to initiate a complete, real session.

su:

•clears all the environment variables except TERM, COLORTERM, NO_COLOR and variables specified by --whitelist-environment

•inicjuje zmienne środowiskowe HOME, SHELL, USER, LOGNAME i PATH

•zmienia katalog na katalog domowy docelowego użytkownika

•ustawia argv[0] powłoki na "-", aby uczynić z powłoki powłokę logowania

-m, -p, --preserve-environment

Zachowuje całe środowisko, tzn. nie ustawia HOME, SHELL, USER ani LOGNAME. Opcja jest ignorowana, jeśli podano także --login.

-P, --pty

Create a pseudo-terminal for the session. The independent terminal provides better security as the user does not share a terminal with the original session. Please note security advice about TIOCSTI vulnerability below.

The entire session can also be moved to the background (e.g., su --pty - user -c application &). If the pseudo-terminal is enabled, then su works as a proxy between the sessions (sync stdin and stdout).

Funkcja ta jest zaprojektowana głównie z myślą o powłokach interaktywnych. Jeśli standardowym wejściem nie jest terminal, lecz na przykład potok (np. echo "date" | su --pty), to flaga ECHO pseudoterminala jest wyłączana, aby uniknąć zabałaganionego wyjścia.

-s, --shell powłoka

Uruchamia podaną powłokę zamiast domyślnej. Jeśli użytkownik docelowy ma ograniczoną powłokę (tzn. niewypisaną w /etc/shells), to opcja --shell i zmienne środowiskowe SHELL są ignorowane, chyba że wywołującym użytkownikiem jest root.

Powłoka do uruchomienia jest wybierana zgodnie z podanymi regułami, w kolejności:

•powłoka podana opcją --shell

•powłoka ze zmiennej środowiskowej SHELL, jeśli podano opcję --preserve-environment

•powłoka podana we wpisie passwd docelowego użytkownika

•/bin/sh

--session-command=polecenie

Same as -c, but do not create a new session. (Discouraged.) Please note security advice about TIOCSTI vulnerability below.

-T, --no-pty

Do not create a pseudo-terminal, opposite of --pty and -P. Please note security advice about TIOCSTI vulnerability below.

-w, --whitelist-environment lista

Nie resetuje zmiennych środowiskowych określonych w liście (używającej przecinka jako separatora) przy czyszczeniu środowiska do --login. Biała lista jest ignorowana w przypadku zmiennych środowiskowych HOME, SHELL, USER, LOGNAME i PATH.

-h, --help

Wyświetla ten tekst i wychodzi.

-V, --version

Wyświetla wersję i wychodzi.

SYGNAŁY

Po otrzymaniu jednego z sygnałów SIGINT, SIGQUIT lub SIGTERM, su używa go do zakończenia procesu potomnego, a później siebie samego. Jeśli proces potomny jest kończony sygnałem SIGTERM, to po nieudanej próbie i odczekaniu 2 sekund, proces jest zabijany za pomocą SIGKILL.

PLIKI KONFIGURACYJNE

su odczytuje pliki konfiguracyjne /etc/default/su i /etc/login.defs. Istotne dla su są następujące pozycje konfiguracji:

FAIL_DELAY (liczba)

Odstęp w sekundach po nieudanym uwierzytelnieniu. Musi być to całkowita liczba nieujemna.

ENV_PATH (łańcuch)

Określa zmienną środowiskową PATH dla zwykłego użytkownika. Wartością domyślną jest /usr/local/bin:/bin:/usr/bin.

ENV_ROOTPATH (łańcuch), ENV_SUPATH (łańcuch)

Określa zmienną środowiskową PATH dla roota. ENV_SUPATH ma pierwszeństwo. Wartością domyślną jest /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin.

ALWAYS_SET_PATH (wartość logiczna)

Jeśli jest ustawiona na yes, to w przypadku gdy nie podano --login ani --preserve-environment, su inicjuje PATH.

Zmienna środowiskowa PATH może być odmienna w systemach, w których /bin i /sbin połączono z /usr; na tę zmienną ma też wpływ opcja wiersza poleceń --login oraz ustawienia systemu PAM (np. pam_env(8)).

STATUS ZAKOŃCZENIA

su zwykle kończy się ze statusem zakończenia wykonywanego polecenia. Jeśli polecenie zabito sygnałem, su zwróci numer sygnału zwiększony o 128.

Statusy zakończenia generowane przez sam program su:

1

Ogólny błąd przed wykonaniem żądanego polecenia

126

Żądane polecenie nie mogło być wykonane

127

Nie znaleziono żądanego polecenia

PLIKI

/etc/pam.d/su

domyślny plik konfiguracyjny PAM

/etc/pam.d/su-l

plik konfiguracyjny PAM, jeśli podano --login

/etc/default/su

plik konfiguracyjny logindef przypisany do polecenia

/etc/login.defs

globalny plik konfiguracyjny logindef

SECURITY NOTES

If su shares a terminal with the original session, it is potentially vulnerable to privilege escalation through TIOCSTI/TIOCLINUX ioctl command injection. There are two built-in ways to prevent this: Either you can use su with the -c option, which starts a new session via setsid(2) without a controlling terminal. Or, if your use case requires a controlling terminal, for example an interactive session, you can instruct su to use a pseudo terminal with the --pty or -P option.

Ze względów bezpieczeństwa, su zawsze odnotowuje nieudane próby logowania w pliku btmp, lecz w ogóle nie pisze do pliku lastlog. To rozwiązanie można wykorzystać do kontroli zachowania su poprzez konfigurację PAM. Jeśli moduł pam_lastlog(8) ma wypisywać ostrzeżenie o nieudanych próbach logowania, należy skonfigurować pam_lastlog(8) tak, aby aktualizował również plik lastlog. Przykładowo:

session required pam_lastlog.so nowtmp

HISTORIA

To polecenie su pochodzi z su coreutils, które powstało w oparciu o implementację Davida MacKenziego. Wersję util-linux zrefaktoryzował Karel Zak.

ZOBACZ TAKŻE

setpriv(1), login.defs(5), shells(5), pam(8), runuser(1)

ZGŁASZANIE BŁĘDÓW

Problemy należy zgłaszać w systemie śledzenia błędów <https://github.com/util-linux/util-linux/issues>.

DOSTĘPNOŚĆ

Polecenie su jest częścią pakietu util-linux, który można pobrać ze strony Archiwum jądra Linux <https://www.kernel.org/pub/linux/utils/util-linux/>.

2026-02-28 util-linux 2.42-rc1