Scroll to navigation

SU(1) Comenzi utilizator SU(1)

NUME

su - execută o comandă cu ID-ul de utilizator și grup substituitor

REZUMAT

su [opțiuni] [-] [utilizator|UID[argument...]]

DESCRIERE

su permite rularea comenzilor cu un ID de utilizator și de grup substitut.

Atunci când este apelat fără a fi specificat utilizatorul, su rulează implicit un shell interactiv ca root. Atunci când este specificat utilizatorul, pot fi furnizate argumente suplimentare, caz în care acestea sunt pasate shell-ului.

Pentru compatibilitate cu versiunile anterioare, su nu modifică în mod implicit directorul curent și definește doar variabilele de mediu HOME și SHELL (plus USER și LOGNAME dacă utilizatorul țintă nu este root). Se recomandă să se utilizeze întotdeauna opțiunea --login (în loc de prescurtarea sa -) pentru a evita efectele secundare cauzate de amestecarea mediilor.

Această versiune de su utilizează PAM pentru autentificare, gestionarea conturilor și a sesiunilor. Unele opțiuni de configurare care se găsesc în alte implementări su, cum ar fi suportul pentru un grup wheel, trebuie să fie configurate prin PAM.

su este conceput în principal pentru utilizatorii fără privilegii, soluția recomandată pentru utilizatorii privilegiați (de exemplu, scripturile executate de root) este de a utiliza comanda, fără activarea bitului „suid,” runuser(1) care nu necesită autentificare și care oferă o configurație PAM separată. Dacă sesiunea PAM nu este deloc necesară, atunci soluția recomandată este utilizarea comenzii setpriv(1).

Rețineți că su folosește în toate cazurile PAM (pam_getenvlist(3)) pentru a efectua modificarea finală a mediului. Opțiunile din linia de comandă, cum ar fi --login și --preserve-environment, afectează mediul înainte ca acesta să fie modificat de PAM.

Începând cu versiunea 2.38, su reinițiază limitele de resurse de proces RLIMIT_NICE, RLIMIT_RTPRIO, RLIMIT_FSIZE, RLIMIT_AS și RLIMIT_NOFILE.

OPȚIUNI

-c, --command comanda

Pasează comanda către shell cu opțiunea -c. Creează o nouă sesiune prin intermediul setsid(2). Consultați --session-command pentru a păstra aceeași sesiune.

-f, --fast

Pasează -f către shell, care poate fi sau nu util, în funcție de shell.

-g, --group grup

Specifică grupul primar. Această opțiune este disponibilă numai pentru utilizatorul root.

-G, --supp-group grup

Specifică un grup suplimentar. Această opțiune este disponibilă numai pentru utilizatorul root. Primul grup suplimentar specificat este, de asemenea, utilizat ca grup primar dacă nu este specificată opțiunea --group.

-, -l, --login

Pornește shell-ul ca un shell de autentificare cu un mediu similar unei autentificări reale.

Rețineți că, pe sistemele bazate pe systemd(1)-, o sesiune nouă poate fi definită ca un punct de intrare real în sistem. Cu toate acestea, su nu creează o sesiune reală (prin PAM) din acest punct de vedere. Trebuie să utilizați instrumente precum systemd-run(1) sau machinectl(1) pentru a iniția o sesiune completă, reală.

su face:

•clear all the environment variables except TERM, COLORTERM, NO_COLOR and variables specified by --whitelist-environment

•initialize the environment variables HOME, SHELL, USER, LOGNAME, and PATH

•change to the target user’s home directory

•set argv[0] of the shell to '-' in order to make the shell a login shell

-m, -p, --preserve-environment

Păstrează întregul mediu, adică nu stabilește HOME, SHELL, USER sau LOGNAME. Această opțiune este ignorată dacă este specificată opțiunea --login.

-P, --pty

Creează un pseudo-terminal pentru sesiune. Terminalul independent oferă un nivel mai ridicat de securitate, deoarece utilizatorul nu împarte terminalul cu sesiunea inițială. Vă rugăm să citiți avizul de securitate referitoare la vulnerabilitatea TIOCSTI prezentate mai jos.

Întreaga sesiune poate fi, de asemenea, mutată în fundal (de exemplu, su --pty - utilizator -c aplicația &). Dacă pseudo-terminalul este activat, atunci su funcționează ca un proxy între sesiuni (sincronizează intrarea și ieșirea standard).

Această caracteristică este concepută în special pentru sesiunile interactive. În cazul în care intrarea standard nu este un terminal, ci, de exemplu, o conductă (de exemplu, echo "date" | su --pty), atunci fanionul ECHO pentru pseudo-terminal este dezactivat pentru a evita o ieșire dezordonată.

-s, --shell shell

Rulează shell-ul specificat în locul celui implicit. Dacă utilizatorul țintă are un shell restricționat (adică nu este listat în /etc/shells), atunci opțiunea --shell și variabilele de mediu SHELL sunt ignorate, cu excepția cazului în care utilizatorul apelant este root.

Shell-ul care urmează să fie executat este selectat în conformitate cu următoarele reguli, în ordine:

•shell-ul specificat cu --shell

•shell-ul specificat în variabila de mediu SHELL, în cazul în care se utilizează opțiunea --preserve-environment

•shell-ul listat în fișierul passwd al utilizatorului țintă

•/bin/sh

--session-command=comanda

La fel ca -c, dar nu creează o sesiune nouă. (Neindicată.) Vă rugăm să citiți avizul de securitate referitoare la vulnerabilitatea TIOCSTI prezentate mai jos.

-T, --no-pty

Nu creează un pseudo-terminal, opusul lui --pty și -P. Vă rugăm să citiți avizul de securitate referitoare la vulnerabilitatea TIOCSTI prezentate mai jos.

-w, --whitelist-environment lista

Nu se reinițializează variabilele de mediu specificate în lista separată prin virgule atunci când se șterge mediul pentru --login. Lista albă este ignorată pentru variabilele de mediu HOME, SHELL, USER, LOGNAME și PATH.

-h, --help

Afișează acest mesaj de ajutor și iese.

-V, --version

Afișează versiunea și iese.

SEMNALE

La primirea fie a semnalului SIGINT, SIGQUIT sau SIGTERM, su își termină procesul-copil și apoi se termină pe sine cu semnalul primit. Procesul-copilu se termină prin SIGTERM, iar după o încercare nereușită și-o întârziere de 2 secunde, procesul-copil este omorât prin SIGKILL.

FIȘIERE DE CONFIGURARE

su citește fișierele de configurare /etc/default/su și /etc/login.defs. Următoarele elemente de configurare sunt relevante pentru su:

FAIL_DELAY (număr)

Întârzierea în secunde în cazul unui eșec de autentificare. Numărul trebuie să fie un număr întreg nenegativ.

ENV_PATH (șir)

Definește variabila de mediu PATH pentru un utilizator obișnuit. Valoarea implicită este /usr/local/bin:/bin:/usr/bin.

ENV_ROOTPATH (șir), ENV_SUPATH (șir)

Definește variabila de mediu PATH pentru root. ENV_SUPATH are prioritate. Valoarea implicită este /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin.

ALWAYS_SET_PATH (boolean)

Dacă este stabilită la yes și --login și --preserve-environment nu au fost specificate, su inițializează PATH.

Variabila de mediu PATH poate fi diferită pe sistemele în care /bin și /sbin sunt comasate în /usr; această variabilă este, de asemenea, afectată de opțiunea de linie de comandă --login și de setarea sistemului PAM (de exemplu, pam_env(8)).

STARE DE IEȘIRE

su returnează în mod normal starea de ieșire a comenzii pe care a executat-o. În cazul în care comanda a fost omorâtă de un semnal, su returnează numărul semnalului plus 128.

Stare de ieșire generată de su însuși:

1

Eroare generică înainte de executarea comenzii solicitate

126

Comanda solicitată nu a putut fi executată

127

Comanda solicitată nu a fost găsită

FIȘIERE

/etc/pam.d/su

fișierul de configurare PAM implicit

/etc/pam.d/su-l

Fișierul de configurare PAM dacă este speciicată opțiunea --login

/etc/default/su

fișierul de configurare logindef specific comenzii

/etc/login.defs

fișierul de configurare globală logindef

AVIZ DE SECURITATE

Dacă su împarte același terminal cu sesiunea inițială, există riscul unei escaladări a privilegiilor prin injectarea de comenzi ioctl de tip TIOCSTI/TIOCLINUX. Există două modalități integrate de a preveni acest lucru: fie puteți utiliza su cu opțiunea -c, care pornește o nouă sesiune prin setsid(2) fără un terminal de control. Sau, dacă cazul dvs. de utilizare necesită un terminal de control, de exemplu o sesiune interactivă, puteți instrui su să utilizeze un pseudo-terminal cu opțiunea --pty sau -P.

Din motive de securitate, su înregistrează întotdeauna încercările eșuate de autentificare în fișierul btmp, dar nu scrie deloc în fișierul lastlog. Această soluție poate fi utilizată pentru a controla comportamentul su prin configurarea PAM. Dacă doriți să utilizați modulul pam_lastlog(8) pentru a afișa un mesaj de avertizare cu privire la încercările eșuate de autentificare, atunci pam_lastlog(8) trebuie să fie configurat pentru a actualiza și fișierul lastlog. De exemplu prin:

session required pam_lastlog.so nowtmp

ISTORIC

Această comandă su a fost derivată din su de la coreutils, care a fost bazată pe o implementare realizată de David MacKenzie. Versiunea util-linux a fost remodelată de Karel Zak.

CONSULTAȚI ȘI

setpriv(1), login.defs(5), shells(5), pam(8), runuser(1)

RAPORTAREA ERORILOR

Pentru rapoarte de eroare, folosiți sistemul de urmărire al erorilor <https://github.com/util-linux/util-linux/issues>.

DISPONIBILITATE

Comanda su face parte din pachetul util-linux care poate fi descărcat de la Linux Kernel Archive <https://www.kernel.org/pub/linux/utils/util-linux/>.

2026-06-14 util-linux 2.42.1