su su- sudo区别概述


在Linux的操作中经常会用到su 命令进行用户的切换和sudo命令获取root权限,su su- sudo三个命令经常弄混,下面简单的讲解下。

一、查看su的命令帮助信息:

pipci@openSUSE:~> su --help

用法:
 su [选项] [-] [<用户> [<参数>...]]

将有效用户 id 和组 id 更改为<用户>的 id。
单个 - 视为 -l。如果未指定<用户>,将假定为 root。

选项:
 -m, -p, --preserve-environment     不重置环境变量
 -g, --group <组>                             指定主组
 -G, --supp-group <组>                  指定一个辅助组

 -, -l, --login                                      使 shell 成为登录 shell
 -c, --command <命令>                  使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                                         而不创建新会话
 -f, --fast                                          向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>                          若 /etc/shells 允许,运行<shell>

 -h, --help                                       显示此帮助并退出
 -V, --version                                 输出版本信息并退出

pipci@openSUSE:~>

 su(switch user)命令用于变更为其他使用者的身份,需要键入该使用者的密码。如果后面不加账户时系统默认为root账户,密码也root账户的密码。没有时间限制。通过上面的帮助信息可以知道su - 是命令su -l的简写。su -l的意思是使shell 成为登录shell,那么什么是登录shell那?

二、shell

1、什么是shell

shell简单的理解就是命令解释器,他将我们发出的指令转化为计算机能够理解的命令,只有通过他我们才能和计算机进行沟通,提供人机交互的接口。

2、什么是Bash shell

Unix的发展过程中出现了很多版本的shell,Linux默认使用的Bash shell就是其中的一个版本,Bash(Bourne-Again SHell )shell是Bourne shell(sh)的增强版
也是GUN计划的一部分,其他比较著名的shell比如C shell,这里就不做介绍了。

2、查看系统支持的shell  (openSUSE系统下)

pipci@openSUSE:~> cat /etc/shells
/bin/ash
/bin/bash      #Bash shell
/bin/csh       #C Shell
/bin/dash
/bin/false
/bin/ksh
/bin/ksh93
/bin/mksh
/bin/pdksh
/bin/sh
/bin/tcsh
/bin/true
/bin/zsh
.......
pipci@openSUSE:~>

3、查看登录用户使用的shell

pipci@openSUSE:~> cat /etc/passwd
........

uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
vnc:x:487:486:user for VNC:/var/lib/empty:/sbin/nologin
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
pipci:x:1000:100:Pipci:/home/pipci:/bin/bash

pipci@openSUSE:~>

可以看出登录用户pipci使用的是/bin/bash  既Bash shell

4、登录shell (login shell)

获取bash shell的时候需要完整的登录流程,输入用户名和密码,就称为登录shell,比如通过ssh方式连接,或者由tty1 ~ tty6 登陆,需要输入用户的账号与密码,此时取得的 bash 就称为login shell

5、非登陆shell (non-login shell):

取得 bash 接口的方法不需要重复登陆的举动
比如你以 X window(图形界面) 登陆 Linux 后, 再以 X 的图形化接口启动终端机,此时该终端接口无需输入账号与密码,则为non-login shell
再比如你在原本的 bash 环境下再次执行 bash 这个命令,同样的也没有输入账号密码, 这个新的 bash (子程序) 也是 non-login shell

6、登录shell与非登陆shell的区别

执行logout命令,退出登录shell(不能退出非登录shell,可以判断当前是否为登录shell)。

pipci@openSUSE:~> logout                           #假设为登录shell,尝试退出
bash: logout: 不是登录 shell: 使用 `exit'          #可以判断当下不是登录shell
pipci@openSUSE:~> su                                  #切换用户,如果su后面不指定用户,默认指定为root
密码:                                                                 #输入root密码
openSUSE:/home/pipci # logout                     #判断切换root用户后是否是登录用户
bash: logout: 不是登录 shell: 使用 `exit'          #可以判断不是登录用户
openSUSE:/home/pipci # exit
exit
pipci@openSUSE:~> su -                                #通过su -命令使 shell 成为登录 shell
密码:
openSUSE:~ # logout                                       #可以判断su -后是登录shell
pipci@openSUSE:~>

上面只是通过命令演示了登录和非登录,真正的区别在于登录shell会从新加载环境变量的,当使用su -命令切换为root用户时shell环境也会一同切换为root shell环境,非登录shell不会从新加载环境变量,通过su命令切换为root用户时shell环境不会一同切换为root shell环境,还是在普通用户环境,只有切换了Shell环境才不会出现PATH环境变量错误,也就是找不的命令的错误,因为在命令行下输入的每个命令都会从PATH环境变量对应的目录搜索相应命令的执行文件,不同的用户有不同的环境对应不同的PATH环境变量,也就是不同的命令搜索目录,这样就会造成有的命令普通环境无法找到,而且su切换成root用户以后,pwd一下,发现工作目录仍然是普通用户的工作目录;而用su -命令切换以后,工作目录变成root的工作目录了。

举例说明:
pipci@ubuntu:~$ pwd                          #查看工作目录
/home/pipci
pipci@ubuntu:~$ echo $PATH          #产品普通用户PATH环境变量值
/usr/local/java/jre1.8.0_161/bin:/home/pipci/bin:/home/pipci/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
pipci@ubuntu:~$ su -
密码:
root@ubuntu:~# pwd                          #查看工作目录
/root
root@ubuntu:~# echo $PATH           #产品root用户PATH环境变量值
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
root@ubuntu:~#

三、sudo

sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。

在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。这样用户获得root权限后就可以肆无忌惮的做任何操作,这样万一用户设置的不当就有可能让整个系统瘫痪。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,记录在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,不同的发行版可能不一样,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。
由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号,例如Ubuntu、Mac OS X等。

sudo也有点类似Windows下面的以管理员身份运行这样的功能。但是sudo可配置性会更多些。

编辑sudo的配置文件/etc/sudoers一般不要直接使用vi(vi /etc/sudoers)去编辑,因为sudoers配置有一定的语法,直接用vi编辑保存系统不会检查语法,如有错也保存了可能导致无法使用sudo工具,最好使用visudo命令去配置。虽然visudo也是调用vi去编辑,但是保存时会进行语法检查,有错会有提示

1、查看sudo的命令帮助信息:

pipci@openSUSE:~> sudo -h
sudo - 以其他用户身份执行一条命令

usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file ...

选项:
  -A, --askpass                         使用助手程序进行密码提示
  -b, --background                    在后台运行命令
  -C, --close-from=num           关闭所有 >= num 的文件描述符
  -E, --preserve-env                在执行命令时保留用户环境
  -e, --edit                                编辑文件而非执行命令
  -g, --group=group                 以指定的用户组或 ID 执行命令
  -H, --set-home                     将 HOME 变量设为目标用户的主目录。
  -h, --help                               显示帮助消息并退出
  -h, --host=host                     在主机上运行命令(如果插件支持)
  -i, --login                              以目标用户身份运行一个登录 shell;可同时指定一条命令      #相当于su -
  -K, --remove-timestamp          完全移除时间戳文件                                                                                                  
  -k, --reset-timestamp              无效的时间戳文件                                                                                                    
  -l, --list                                       列出用户权限或检查某个特定命令;对于长格式,使用两次                                                                
  -n, --non-interactive                 非交互模式,不提示                                                                                                  
  -P, --preserve-groups             保留组向量,而非设置为目标的组向量                                                                                  
  -p, --prompt=prompt              使用指定的密码提示                                                                                                  
  -r, --role=role                          以指定的角色创建 SELinux 安全环境                                                                                   
  -S, --stdin                               从标准输入读取密码                                                                                                  
  -s, --shell                           以目标用户运行 shell;可同时指定一条命令            #相当于su                                                                           
  -t, --type=type                       以指定的类型创建 SELinux 安全环境                                                                                   
  -T, --command-timeout=timeout            在达到指定时间限制后终止命令
  -U, --other-user=user                             在列表模式中显示用户的权限
  -u, --user=user                                       以指定用户或 ID 运行命令(或编辑文件)
  -V, --version                                          显示版本信息并退出
  -v, --validate                                         更新用户的时间戳而不执行命令
  --                                                           停止处理命令行参数
pipci@openSUSE:~>










阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页