OpenEuler系统普通用户su 报错“权限错误”情况

前言

openEuler默认普通用户是不能通过su切换到root用户的，会出现以下错误：

# 错误
su - 
Password: 
su: Permission denied

最近生产就遇到此坑了，记录以下。

故障现象

1. 运维人员执行权限变更操作后，发现无法通过 su 命令切换至 root 权限；
2. 因虚拟机远程登录策略禁用 root 直接登录，导致无法通过常规方式获取 root 权限进行问题排查；

运维人员此前移除 gzapps 账号的 wheel 组权限，而OpenEuler系统默认仅允许 wheel 组用户通过 su 切换至 root，同时虚拟机禁用 root 远程登录，双重限制导致无有效提权路径。

解决办法

修改/etc/pam.d/su配置文件，注释配置非wheel组用户账号禁止使用su

# 查看是否启用了 auth            required        pam_wheel.so use_uid
# 这意味着只有 wheel 组的用户才能使用 su 命令切换到 root 用户。若 gzapps 用户不在 wheel 组中，就会导致 su 切换失败。
[root@localhost ~]# cat /etc/pam.d/su
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid

或者：只针对当前需要su 切换root的账号，把该用户加到wheel组即可

# 你可以把 gzapps 用户添加到 wheel 组，具体操作如下：
groups gzapps
sudo usermod -aG wheel gzapps
groups gzapps

#如果你不希望通过将用户添加到 wheel 组来实现 su 切换，可以把 /etc/pam.d/su 文件中的 auth required pam_wheel.so use_uid 这一行注释掉，然后重新加载 PAM 配置或者重启系统。