linux下su与sudo

简短介绍

su与su -

su 切换到root用户,但是并没有转到root用户家目录下,即没有改变用户的环境。su - 切换到root用户,并转到root用户的家目录下,即改变到了root用户的环境。这个涉及到不同用户下的环境变量的配置。 

sudo

通过sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道root密码(sudo用的不是root密码,而是当前用户密码),所以sudo相对于权限无限制性的su来说,还是比较安全的,所以sudo也能被称为受限制的su,另外sudo是需要授权许可的,所以也被称为授权许可的su。sudo执行命令的流程是当前用户切换到root(或其他指定切换到的用户),然后以root(或其他指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户,而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权。 sudo的配置文件是/etc/sudoers,我们可以用他的专用编辑工具visodu来进行配置,配置好后,可以切换到您授权的用户下,通过sudo -l来查看哪些命令是可以执行或禁止的。之所以把这三个命令拿出来,是要提醒自己这三个命令是有区别的,在使用时遇到错误就要仔细想一下。至于怎样配置使用sudo,一般不做服务器管理应该用不到,这里不做详细介绍,需要的时候可以去学习。

详细介绍

一.su

su是最简单的身份切换名,用su我们能够进行不论什么用户的切换,一般都是su - username,然后输入password就ok了,可是root用su切换到其它身份的时候是不须要输入password的。起初我都是用su来切换的,后来老大看见了说我这样的方式切换是不好的。你能够尝试其它的方式来切换。我认为这样切换非常方便啊,那究竟是不好在哪里呢。后面再看另外一种身份的切换方式就知道了。

​ 一般我们切换身份都是切换到root,然后进行一些仅仅有root能干的事,比方改动配置文件。比方下载安装软件。这些都仅仅能是root才有权限干的事。切换到root能够是单纯的su,或者是su -和su - root,后面两个是一样的意思。

单纯使用su切换到root,读取变量的方式是non-login shell,这样的方式下非常多的变量都不会改变。尤其是PATH。所以root用的非常多的命令都仅仅能用绝对路径来运行。这样的方式仅仅是切换到root的身份。

而用su -这样的方式的话,是login shell方式,它是先以root身份登录然后再运行别的操作。

​ 假设我们仅仅要切换到root做一次操作就好了,仅仅要在su后面加个-c參数就好了。运行完这次操作后。又会自己主动切换回我们自己的身份。非常方便。

​ 那么假设有非常多人管理这个主机的话,那不是非常多人都要知道root的password吗,并且可能有的人仅仅是单纯的进行一次root操作就能够了,这个时候,su方式就不是非常好,rootpassword越少人知道越好,越少人知道就越安全,这时就须要另外一种方式了。

二.sudo

相比于su切换身份须要用户的password,常常性的是须要rootpassword,sudo仅仅是须要自己的password,就能够以其它用户的身份来运行命令。常常是以root的身份运行命令。也并不是全部人都能够用sudo:

[eternity@izm5e2q95pbpe1hh0kkwoiz ~]$ sudo head -n 3 /etc/shadowWe trust you have received the usual lecture from the local SystemAdministrator. It usually boils down to these three things:    #1) Respect the privacy of others.    #2) Think before you type.    #3) With great power comes great responsibility.[sudo] password for eternity: eternity is not in the sudoers file.  This incident will be reported.

这里我要查看/etc/shadow这个文件的前三行,可是却发现看不了,提示的错误是说我当前这个用户不在sudoers这个文件,所以sudo是依赖于/etc/sudoers这个配置文件的。

sudo的运行有这样一个流程:

  1. 当用户运行sudo时,系统于/etc/sudoers文件里查找该用户是否有运行sudo的权限;
  2. 若用户具有可运行sudo的权限。那么让用户输入用户自己的password,注意这里输入的是用户自己的password。
  3. 假设password正确。变開始进行sudo后面的命令,root运行sudo是不须要输入password的,切换到的身份与运行者身份同样的时候。也不须要输入password。

以下看看/etc/sudoers这个配置文件:

为何刚開始仅仅有root能运行sudo,切换到root身份通过visudo查看/etc/sudoers这个配置文件,假设是vim /etc/sudoers是能够查看的,可是不能改动,由于sudoers这个文件是由语法的,仅仅能通过visudo来改动。第一个红色方框那行代码,这行代码是什么意思呢。

第一列root不用多说,是用户账号,第二列的ALL意思是登陆者的来源主机名,第三列等号右边小括号里的ALL是代表能够切换的身份。第四列ALL是可运行的命令。

1).单个用户的sudoers语法:假设我要我当前这个用户能运行root的全部操作,那么我仅仅要加一行learnpython ALL=(ALL) ALL。那么假设有非常多人须要运行sudo。那不是要写编写非常多行啊,这样不是非常麻烦,这样就要用到用户组了。2).利用用户组处理visudo:看看第二个红色方框那行代码。%wheel代表wheel用户组。假设我们将须要运行root全部操作的用户都加入到wheel用户组,或者我们自己定义的用户组。然后加入一行代码。那么就不用一个用户一个用户的加入进来了,这样不是非常省事啊。3).限制用户sudo的权限:可是常常我们不须要用户有那么大的权限。仅仅要让他们具有他们负责范围的权限就能够了。比方有的有的人来管理password,我们就仅仅让他能进行password的管理,而不让他有别的权限,这样就须要权限的控制了。

假设我让我当前用户来管理password。即learnpython这个用户能使用passwd这个命令来帮root改动用户password。仅仅要加这行learnpython ALL=(root) /usr/bin/passwd,那么learnpython这个用户就能够使用passwd这个命令了:

可是假设仅仅是运行sudo passwd命令,改动的就是root的password,当然我们不希望普通用户能具有改动rootpassword的权限,那么在visudo的时候就须要将命令的參数限制好。如改成这样:

[root@localhost ~]# visudolearnpython    ALL=(root)    !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4).通过别名设置visudo查看sudoers这个文件的时候。你会看见User_Alias。Host_Alias和Cmnd_Alias这些东西,他们都是一些别名,User_Alias表示具有sudo权限的用户列表,就是第一列參数。Host_Alias表示主机的列表。就是第二列參数。Cmnd_Alias表示同意运行命令的列表,就是第四列參数。还有个Runas_Alias。我初始的sudoers里是没有的,这个表示用户以什么身份登录。也就是第三列參数。所以假设有几个password管理员的话就能够加上例如以下代码:[root@localhost ~]# visudoUser_Alias PWMNG = manager1, manager2, manager3Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd rootPWMNG    ALL=(root)    PWCMD5).sudo搭配su从上面来看。我们都仅仅是切换到别的用户然后运行命令,接着就切回到我们自己的用户了。假设我们要像su那样直接切换到root。然后干自己想干的。这个时候,就要将命令改动成/bin/su -。例如以下:[root@localhost ~]# visudoUser_Alias ADMINS = user1, user2, user3ADMINS    ALL=(root)    /bin/su -当然这个是须要谨慎了,由于这样用户user1。user2,user3等就直接切换到root了,切换后他们就是老大了。

有没有发现,当我们连续使用sudo的时候,在一定时间内是不用再次输入我们的password,这个事实上是系统自己设定的,在五分钟之内运行sudo仅仅须要输入一次password就能够了。

3.总结

​ 了解完su和sudo,是不是发现sudo有太多的优点了。su方式切换是须要输入目标用户的password。而sudo仅仅须要输入自己的password,所以sudo能够保护目标用户的password不外流的。当帮root管理系统的时候,su是直接将root全部权利交给用户。而sudo能够更好分工,仅仅要配置好/etc/sudoers,这样sudo能够保护系统更安全,并且分工明白,有条不紊。


站在巨人的肩膀上摘苹果:

(0)

相关推荐

  • Linux用户切换命令的使用——su、sudo

    一. su su用于用户之间的切换,但是切换前的用户依然保持登录状态.如果是root向普通切换则不需要密码,反之普通用户切换到其它任何用户则都需要密码验证. su不加任何参数默认切换到root用户,但 ...

  • Linux 命令 su 和 sudo 的区别?

    来源:Jun Tao 地址: https://tanjuntao.github.io/ 之前一直对 su 和 sudo 这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了, ...

  • 【linux】su、sudo、sudo su、sudo

    sudo : 暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码.不过有时间限制,Ubuntu默认为一次时长15分钟. su : 切换到某某用户模式, ...

  • Linux 命令 su 和 sudo 的区别

    之前一直对 su 和 sudo 这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下. 1. 准备工作 因为本篇博客中涉及到用户切换,所以我需要提前准 ...

  • Linux下文件搜索、查找、查看命令

    Linux下文件搜索、查找、查看命令

  • linux下vsftpd的安装及配置使用详细步骤

    安装 yum install vsftpd 新建/home/uftp目录作为用户主目录 mkdir /home/uftp 新建用户uftp: useradd -d /home/uftp -s /bin ...

  • Linux下安装配置Tengine:Nginx

    Linux下安装配置Tengine:Nginx 简介 Tengine是由淘宝网发起的Web服务器项目.它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性. Tengine的性能和 ...

  • (7条消息) Linux下TCP/IP编程

    本文参考自徐晓鑫<后台开发>,重点复习总结TCP通信流程,读者也可以参考: http://blog.csdn.net/wqc_csdn/article/details/51513543,谢 ...

  • 使用live555 在linux下搭建 rtsp server

    系统环境 Debian 7 x64  / centos 7 x64  都可以 首先去下载源码 http://www.live555.com/liveMedia/public/live555-lates ...