su和sudo的區(qū)別

1、su和sudo的區(qū)別與使用一. 使用 su 命令臨時(shí)切換用戶身份1、su 的適用條件和威力su命令就是切換用戶的工具，怎么理解呢？比如我們以普通用戶beinan登錄的，但要添加用戶任務(wù)，執(zhí)行useradd ，beinan用戶沒(méi)有這個(gè)權(quán)限，而這個(gè)權(quán)限恰恰由root所擁有。解決辦法無(wú)法有兩個(gè)，一是退出beinan用戶，重新以root用戶登錄，但這種辦法并不是最好的；二是我們沒(méi)有必要退出beinan用戶，可以用su來(lái)切換到root下進(jìn)行添加用戶的工作，等任務(wù)完成后再退出root。我們可以看到當(dāng)然通過(guò)su 切換是一種比較好的辦法；通過(guò)su可以在用戶之間切換，如果超級(jí)權(quán)限用戶root向普通或虛擬用戶切換

2、不需要密碼，什么是權(quán)力？這就是！而普通用戶切換到其它任何用戶都需要密碼驗(yàn)證；2、su 的用法：su OPTION選項(xiàng)參數(shù) 用戶-, -l, -login 登錄并改變到所切換的用戶環(huán)境；-c, -commmand=COMMAND 執(zhí)行一個(gè)命令，然后退出所切換到的用戶環(huán)境；至于更詳細(xì)的，請(qǐng)參看man su ；3、su 的范例：su 在不加任何參數(shù)，默認(rèn)為切換到root用戶，但沒(méi)有轉(zhuǎn)到root用戶家目錄下，也就是說(shuō)這時(shí)雖然是切換為root用戶了，但并沒(méi)有改變r(jià)oot登錄環(huán)境；用戶默認(rèn)的登錄環(huán)境，可以在/etc/passwd 中查得到，包括家目錄，SHELL定義等；$ suPassword:rootl

3、ocalhostbeinanlocalhost beinan# pwd/home/beinansu 加參數(shù) - ，表示默認(rèn)切換到root用戶，并且改變到root用戶的環(huán)境；$beinanlocalhost $ su -Password:rootlocalhost #pwd/home/beinanbeinanlocalhost pwd/rootsu 參數(shù) - 用戶名$ su - root 注：這個(gè)和su -beinanlocalhost 是一樣的功能；Password:rootlocalhost # pwd/root$ su - linuxsir 注：這是切換到beinanlocalhost l

4、inuxsir用戶Password: 注：在這里輸入密碼；$ pwdlinuxsirlocalhost 注：查看用戶當(dāng)前所處的位置；/home/linuxsir$ idlinuxsirlocalhost 注：查看用戶的UID和GID信息，主要是看是否切換過(guò)來(lái)了；uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)linuxsirlocalhost $ su - -c lsbeinanlocalhost 注：查看當(dāng)前用戶所處的位置；/home/beinan$ idbeinanlocalhost /

5、etc/shadow/etc/shadow: 權(quán)限不夠這時(shí)我們可以用sudo more /etc/shadow 來(lái)讀取文件的內(nèi)容；就就需要在/etc/soduers中給beinan授權(quán)于是我們就可以先su 到root用戶下通過(guò)visudo 來(lái)改/etc/sudoers ；（比如我們是以beinan用戶登錄系統(tǒng)的）$beinanlocalhost suPassword: 注：在這里輸入root密碼下面運(yùn)行visodu；rootlocalhost beinan# visudo 注：運(yùn)行visudo 來(lái)改 /etc/sudoers加入如下一行，退出保存；退出保存，在這里要會(huì)用vi，visudo也是用

6、的vi編輯器；至于vi的用法不多說(shuō)了；beinan ALL=/bin/more 表示beinan可以切換到root下執(zhí)行more 來(lái)查看文件；退回到beinan用戶下，用exit命令；rootlocalhost beinan# exitexitbeinanlocalhost $查看beinan的通過(guò)sudo能執(zhí)行哪些命令？$ sudobeinanlocalhost -lPassword: 注：在這里輸入beinan用戶的密碼User beinan may run the following commands on this host: 注：在這里清晰的說(shuō)明在本臺(tái)主機(jī)上，beinan用戶可以以r

7、oot權(quán)限運(yùn)行more ；在root權(quán)限下的more ，可以查看任何文本文件的內(nèi)容的；(root) /bin/more最后，我們看看是不是beinan用戶有能力看到/etc/shadow文件的內(nèi)容；beinanlocalhost $ sudo more /etc/shadowbeinan 不但能看到 /etc/shadow文件的內(nèi)容，還能看到只有root權(quán)限下才能看到的其它文件的內(nèi)容，比如；$beinanlocalhost sudo more /etc/gshadow對(duì)于beinan用戶查看和讀取所有系統(tǒng)文件中，我只想把/etc/shadow 的內(nèi)容可以讓他查看；可以加入下面的一行；beina

8、n ALL=/bin/more /etc/shadow題外話：有的弟兄會(huì)說(shuō)，我通過(guò)su 切換到root用戶就能看到所有想看的內(nèi)容了，哈哈，對(duì)啊。但咱們現(xiàn)在不是在講述sudo的用法嗎？如果主機(jī)上有多個(gè)用戶并且不知道root用戶的密碼，但又想查看某些他們看不到的文件，這時(shí)就需要管理員授權(quán)了；這就是sudo的好處；實(shí)例五：練習(xí)用戶組在/etc/sudoers中寫(xiě)法；如果用戶組出現(xiàn)在/etc/sudoers 中，前面要加%號(hào)，比如%beinan ，中間不能有空格；%beinan ALL=/usr/sbin/*,/sbin/*如果我們?cè)?/etc/sudoers 中加上如上一行，表示beinan用戶組下

9、的所有成員，在所有可能的出現(xiàn)的主機(jī)名下，都能切換到root用戶下運(yùn)行 /usr/sbin和/sbin目錄下的所有命令；實(shí)例六：練習(xí)取消某類程序的執(zhí)行：取消程序某類程序的執(zhí)行，要在命令動(dòng)作前面加上!號(hào)； 在本例中也出現(xiàn)了通配符的*的用法；beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把這行規(guī)則加入到/etc/sudoers中；但您得有beinan這個(gè)用戶組，并且beinan也是這個(gè)組中的才行；本規(guī)則表示beinan用戶在所有可能存在的主機(jī)名的主機(jī)上運(yùn)行/usr/sbin和/sbin下所有的程序，但fdisk 程序除外；$ sudo -lbei

10、nanlocalhost Password: 注：在這里輸入beinan用戶的密碼；User beinan may run the following commands on this $host:(root) /usr/sbin/*(root) /sbin/*(root) !/sbin/fdiskbeinanlocalhost sudo /sbin/fdisk -lSorry, user beinan is not allowed to execute /sbin/fdisk -l as root on localhost.注：不能切換到root用戶下運(yùn)行fdisk 程序；實(shí)例七：別名的運(yùn)用

11、的實(shí)踐；假如我們就一臺(tái)主機(jī)localhost，能通過(guò)hostname 來(lái)查看，我們?cè)谶@里就不定義主機(jī)別名了，用ALL來(lái)匹配所有可能出現(xiàn)的主機(jī)名；并且有beinan、linuxsir、lanhaitun 用戶；主要是通過(guò)小例子能更好理解；sudo雖然簡(jiǎn)單好用，但能把說(shuō)的明白的確是件難事；最好的辦法是多看例子和man soduers ；User_Alias SYSADER=beinan,linuxsir,%beinanUser_Alias DISKADER=lanhaitunRunas_Alias OP=rootCmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/us

12、r/sbin/adduser,/usr/bin/passwd A-Za-z*,!/usr/bin/passwd rootCmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注：定義命令別名DSKCMD，下有成員parted和fdisk ；SYSADER ALL= SYDCMD,DSKCMDDISKADER ALL=(OP) DSKCMD注解：第一行：定義用戶別名SYSADER 下有成員 beinan、linuxsir和beinan用戶組下的成員，用戶組前面必須加%號(hào)；第二行：定義用戶別名 DISKADER ，成員有l(wèi)anhaitun第三行：定義Runas用戶，

13、也就是目標(biāo)用戶的別名為OP，下有成員root第四行：定義SYSCMD命令別名，成員之間用,號(hào)分隔，最后的!/usr/bin/passwd root 表示不能通過(guò)passwd 來(lái)更改root密碼；第五行：定義命令別名DSKCMD，下有成員parted和fdisk ；第六行：表示授權(quán)SYSADER下的所有成員，在所有可能存在的主機(jī)名的主機(jī)下運(yùn)行或禁止 SYDCMD和DSKCMD下定義的命令。更為明確遙說(shuō)，beinan、linuxsir和beinan用戶組下的成員能以root身份運(yùn)行 chown 、chmod 、adduser、passwd，但不能更改root的密碼；也可以以root身份運(yùn)行 par

14、ted和fdisk ，本條規(guī)則的等價(jià)規(guī)則是；beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk第七行：表示授權(quán)DISKADER 下的所有成員，能以O(shè)P的身份，來(lái)運(yùn)行 DSKCMD ，不需要密碼；更為明確的說(shuō) lanhaitun 能以root身份運(yùn)行 parted和fdisk 命令；其等價(jià)規(guī)則是：lanhaitun ALL=(root) /sbin/parted,/sbin

15、/fdisk可能有的弟兄會(huì)說(shuō)我想不輸入用戶的密碼就能切換到root并運(yùn)行SYDCMD和DSKCMD 下的命令，那應(yīng)該把把NOPASSWD:加在哪里為好？理解下面的例子吧，能明白的；SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD5、/etc/sudoers中其它的未盡事項(xiàng)；在授權(quán)規(guī)則中，還有 NOEXEC:和EXEC的用法，自己查man sudoers 了解；還有關(guān)于在規(guī)則中通配符的用法，也是需要了解的。這些內(nèi)容不多說(shuō)了，畢竟只是一個(gè)入門性的文檔。soduers配置文件要多簡(jiǎn)單就有多簡(jiǎn)單，要多難就有多難，就看自己的應(yīng)用了。6、sudo的用法；我們?cè)?/p>

16、前面講的/etc/sudoers 的規(guī)則寫(xiě)法，最終的目的是讓用戶通過(guò)sudo讀取配置文件中的規(guī)則來(lái)實(shí)現(xiàn)匹配和授權(quán)，以便替換身份來(lái)進(jìn)行命令操作，進(jìn)而完成在其權(quán)限下不可完成的任務(wù)；我們只說(shuō)最簡(jiǎn)單的用法；更為詳細(xì)的請(qǐng)參考man sudosudo 參數(shù)選項(xiàng) 命令-l 列出用戶在主機(jī)上可用的和被禁止的命令；一般配置好/etc/sudoers后，要用這個(gè)命令來(lái)查看和測(cè)試是不是配置正確的；-v 驗(yàn)證用戶的時(shí)間戳；如果用戶運(yùn)行sudo 后，輸入用戶的密碼后，在短時(shí)間內(nèi)可以不用輸入口令來(lái)直接進(jìn)行sudo 操作；用-v 可以跟蹤最新的時(shí)間戳；-u 指定以以某個(gè)用戶執(zhí)行特定操作；-k 刪除時(shí)間戳，下一個(gè)sudo 命

17、令要求用求提供密碼；舉列：首先我們通過(guò)visudo 來(lái)改/etc/sudoers 文件，加入下面一行；beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd A-Za-z*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk然后列出beinan用戶在主機(jī)上通過(guò)sudo 可以切換用戶所能用的命令或被禁止用的命令；$ sudo -lbeinanlocalhost 注：列出用戶在主機(jī)上能通過(guò)切換用戶的可用的或被禁止的命令；Password: 注：在

18、這里輸入您的用戶密碼；User beinan may run the following commands on this host:(root) /bin/chown 注：可以切換到root下用chown命令；(root) /bin/chmod 注：可以切換到root下用chmod命令；(root) /usr/sbin/adduser 注：可以切換到root下用adduser命令；(root) /usr/bin/passwd A-Za-z* 注：可以切換到root下用 passwd 命令；(root) !/usr/bin/passwd root 注：可以切換到root下，但不能執(zhí)行passw

19、d root 來(lái)更改root密碼；(root) /sbin/parted 注：可以切換到 root下執(zhí)行parted ；(root) /sbin/fdisk 注：可以切換到root下執(zhí)行 fdisk ；通過(guò)上面的sudo -l 列出可用命令后，我想通過(guò)chown 命令來(lái)改變/opt目錄的屬主為beinan ；$ ls -ld /optbeinanlocalhost 注：查看/opt的屬主；drwxr-xr-x 26 root root 4096 10月 27 10:09 /opt 注：得到的答案是歸屬root用戶和root用戶組；$ sudo chown beinan:beinanbeinan

20、localhost /opt 注：通過(guò)chown 來(lái)改變屬主為beinan用戶和beinan用戶組；$ ls -ldbeinanlocalhost /opt 注：查看/opt屬主是不是已經(jīng)改變了；drwxr-xr-x 26 beinan beinan 4096 10月 27 10:09 /opt我們通過(guò)上面的例子發(fā)現(xiàn)beinan用戶能切換到root后執(zhí)行改變用戶口令的passwd命令；但上面的sudo -l 輸出又明文寫(xiě)著不能更改root的口令；也就是說(shuō)除了root的口令，beinan用戶不能更改外，其它用戶的口令都能更改。下面我們來(lái)測(cè)試；對(duì)于一個(gè)普通用戶來(lái)說(shuō)，除了更改自身的口令以外，他不能更改其它用戶的口令。但如果換到root身份執(zhí)行命令，則可以更改其它用戶的口令；比如在系統(tǒng)中有l(wèi)inuxsir這個(gè)用戶, 我們想嘗試更改這個(gè)用戶的口令，$ passwd linuxsir