su - 切换用户时 PATH 异常主要因 shell 类型不匹配、主目录权限过宽、PATH 被覆盖而非追加,或 SELinux/PAM 干预;需依次检查目标 shell、~ 权限(应为 700)、配置文件中 PATH 赋值方式及 PAM 环境模块配置。
使用 su - 切换用户时环境变量(尤其是 PATH)异常,通常不是命令本身出错,而是 shell 初始化机制、配置文件加载顺序或权限问题导致的。下面列出几种常见且可验证的原因及对应排查方向。
shell 类型不匹配导致配置文件未加载
su - 会启动目标用户的登录 shell,并读取其 /etc/passwd 中定义的 shell。如果目标用户 shell 被设为 /bin/sh(比如某些系统默认),而该 shell 不兼容 bash 的 .bash_profile 或 .bashrc 语法,就会跳过关键配置,PATH 无法按预期设置。
- 运行
getent passwd $USER | cut -d: -f7查看当前用户实际 shell - 对比
echo $SHELL和ps -p $$输出,确认是否真在目标 shell 中 - 若为
/bin/sh,检查~/.profile是否存在并正确设置了 PATH;.bash*文件在此场景下通常被忽略
目标用户主目录权限不合法,阻止配置文件读取
Linux 登录 shell 在启动时,会对用户主目录执行安全检查:若目录权限过于宽松(如含 group/o 写权限),多数 shell(特别是 bash)会直接跳过加载 .bash_profile、.profile 等敏感配置文件,以防止被篡改。
- 执行
ls -ld ~,确认输出类似drwx------(即 700) - 若显示
drwxr-xr-x或含w权限,运行chmod 700 ~修复 - 修复后重新用
su -进入,PATH 通常恢复正常
配置文件中 PATH 被覆盖而非追加
常见错误是在 ~/.bash_profile 或 ~/.profile 中直接写 PATH=/new/path,而不是用 PATH=/new/path:$PATH 或 export PATH 保留原有值。一旦 shell 启动时先加载了系统级 PATH(如 /etc/profile),后续又被覆盖,就会丢失关键路径(如 /usr/local/bin、/usr/bin)。
- 检查
~/.bash_profile、~/.profile、~/.bashrc中所有 PATH 赋值语句 - 避免裸写
PATH=...,优先使用PATH="/new/path:$PATH" - 注意
su -默认只读取~/.bash_profile(或~/.profile),不自动 source~/.bashrc
SELinux 或 PAM 模块干预环境变量继承
在启用 SELinux 的系统(如 RHEL/CentOS/Fedora)中,PAM 的 pam_env.so 模块可能被配置为强制重置或过滤环境变量。若 /etc/security/pam_env.conf 或相关 PAM 配置存在 unset 或 default 规则,PATH 可能被截断或还原为最小集。
- 临时禁用 SELinux 测试:
setenforce 0,再su -观察 PATH 是否恢复 - 检查
/etc/pam.d/su和/etc/pam.d/su-l是否加载了pam_env.so - 查看
/etc/security/pam_env.conf是否有针对 PATH 的 unset 或 override 行
