# su <User> funktioniert nicht. (pam)

## musv

Hallo, 

vor ein paar Wochen hab ich mich aufgrund des Console-Kit-Geraffels durchgerungen, pam zu installieren. Heut hab ich dann gemerkt, dass su nur noch eingeschränkt funktioniert.

/var/log/messages

```
Jun 30 17:50:25 localhost su[7686]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty=/dev/pts/5 ruser=du rhost=  user=ich
```

Beschreiben wir's mal so:

User: ich

```
uid=1000(ich) gid=100(users) Gruppen=100(users),5(tty),10(wheel),11(floppy),14(uucp),18(audio),19(cdrom),27(video),80(cdrw),85(usb),250(portage),16(cron),35(games),1003(plugdev),1005(scanner),1011(wireshark)
```

su funktioniert

su <du> funktioniert.

User: du

```
uid=1001(du) gid=100(users) Gruppen=100(users),5(tty),11(floppy),18(audio),19(cdrom),27(video),80(cdrw),85(usb),35(games),1003(plugdev)
```

su funktioniert nicht und soll es auch nicht

su <ich> funktioniert ebenfalls nicht, soll aber.

/etc/pam.d/su

```
#%PAM-1.0

auth       sufficient   pam_rootok.so

auth       required     pam_wheel.so use_uid

auth       include              system-auth

account    include              system-auth

password   include              system-auth

session    include              system-auth

session    required     pam_env.so

session    optional             pam_xauth.so
```

Was fehlt mir jetzt noch, damit die anderen User wieder wild zueinander "suen" dürfen?

----------

## py-ro

Afaik muss ein Benutzer in der Gruppe wheel sein, damit er su benutzen darf.

Py

----------

## mv

 *musv wrote:*   

> vor ein paar Wochen hab ich mich aufgrund des Console-Kit-Geraffels durchgerungen, pam zu installieren.

 

Was ist da der Zusammenhang? Ich habe wie wohl jeder andere consolekit aufs Auge gedrückt bekommen, komme aber ohne pam aus. Gibt es da ein Sicherheitsproblem?

----------

## musv

 *py-ro wrote:*   

> Afaik muss ein Benutzer in der Gruppe wheel sein, damit er su benutzen darf.

 

Ich will aber nicht, dass User "du" die Möglichkeit hat root zu werden. Von daher ist der Eintrag in die Gruppe Wheel nicht akzeptabel.

Ohne Pam war das Verhalten wie gewünscht. User "du" darf zu "ich" wechseln, aber nicht zu root.

 *mv wrote:*   

> Was ist da der Zusammenhang? Ich habe wie wohl jeder andere consolekit aufs Auge gedrückt bekommen, komme aber ohne pam aus. Gibt es da ein Sicherheitsproblem?

 

Das schon, aber dann kannst du nicht per Dolphin USB-Geräte als User mounten, ohne eine Udev-Regel zu erstellen. D.h. das ganze Udisks-Zeugs funktioniert ausschließlich mit pam.

----------

