Linux_权限管理-su-切换用户_sudo-提权

最新推荐文章于 2023-10-10 23:24:55 发布
最新推荐文章于 2023-10-10 23:24:55 发布
阅读量825 收藏 2
点赞数
分类专栏: centos 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31455841/article/details/110198177
版权

su-切换用户 sudo-提权

1. su sudo介绍

# su
	switch user
	Change the effective user id and group id to that of USER

# sudo
	switch user, do
	execute a command as another user

# su和sudo出现的缘由
    因为root用户的权限太大,破坏力太强,安全风险极高,所以通常情况下公司的服务器对外都是禁止root用户直接登录的
    而运维组的小伙伴通常使用的都是普通用户,但是运维组内的小伙伴们在进行日常运维管理的过程中,经常需要获得某些root才有的管理权限才能完成任务,例如需要执行/sbin目录下的命令
    
# 问题    
    那么如何才能在不使用root用户直接登录操作系统的同时又能保证普通用户完成日常工作呢?
    
# 两种解决方案    
    1. su切换用户身份
  		特点:
        	使用普通用户登录,然后使用su命令切换到root账户下 
        优点:
        	简单粗暴 
        缺点:
            1. 需要知道root密码 
            2. 权限控制不精细 每次都是获取所有root权限
            
	2. sudo提取部分管理员权限
    	特点:
        	1. 使用普通用户登录,然后sudo命令提取root用户的部分管理权限,注意只是某部分,而不是全部。
            2. 不需要切换到root账户下 
        优点:
        	相对复杂 
        缺点:
        	1. 不需要知道root密码,输入的是用户自己的密码 
            2. 权限控制更为精细 可以控制普通用户只获取部分root权限

2. su-切换用户

# linux中shell可以分两类
	登陆shell,需要输入用户名和密码才能进入Shell,日常接触的最多的一种 
    非登陆shell,不需要输入用户和密码就能进入Shell,比如运行bash会开启一个新的会话窗口
    
# shell的使用方式有两种
	交互式,等待用户输入执行的命令(终端操作,需要不断提示) 
    非交互式,执行shell脚本, 脚本执行结束后shell自动退出
    
# bash shell配置文件介绍
1. 作用
	主要保存用户的工作环境
    
2. 配置文件
	1. 全局配置文件
        /etc/profile
        /etc/profile.d/*.sh 
        /etc/bashrc 
        
	2. 个人配置文件
		~/.bash_profile
    	~/.bashrc
      '''
      profile类文件, 设定环境变量, 登陆前运行的脚本和命令
      bashrc类文件, 设定本地变量, 定义命令别名
      PS: 
          如果全局配置和个人配置产生冲突,以个人配置为准
      '''     
    
3. 配置文件的应用顺序
	1. 如果执行的是登录式shell,那么配置文件执行顺序是
    	/etc/profile 
        	-> /etc/profile.d/*.sh 
        		-> ~/.bash_profile 
        			-> ~/.bashrc 
       					-> /etc/bashrc 
        
    2. 如果执行的是非登录式shell,那么配置文件执行顺序是
    	~/.bashrc
        	-> /etc/bashrc
            	-> /etc/profile.d/*.sh 
                
    PS: 验证使用echo在每行添加一个输出即可,注意,要把输出放在文件的第一行
        
4. 执行登录与非登录shell
	1. 执行登录shell:身份与环境都切换 
    	su - 用户 
        
    2. 执行非登录shell:只切换用户身份 
    	su 用户 
        
    # 注意
    	1. 从root往普通用户下切换无需输入密码,反之则需要 
        2. 切换身份执行命令:su - 用户 -c “命令”

3. sudo-提权

1. 简介

	在日常的运维工作中,我们不应该把root的密码公开给所有人
    因为,一方面,真那样做的话,安全风险就太高了,删库到跑路发生的概率估计会加大
    另外一方面,小伙伴们大多数情况下只需要提取某一些权限来使用即可也并不是需要所全部的管理员权限,所以说sudo比su更为靠谱一些

	通过配置sudo,我们可以实现让普通用户输入自己的密码的情况下而获取我们为其配置的特定权限,这样,既保证了普通用户拥有他想要的特定权限,又不至于泄露管理root的密码

2. 配置

# 两种编辑方式
	1. visudo(会提示语法错误,推荐使用)
    	# 检查配置是否正确
    	[root@lee ~]# visudo -c  
        /etc/sudoers:解析正确
        
    2. vim /etc/sudoers
    	# sudo 语法 
        user MACHINE=COMMANDS 
        
        # 示例
        # root  ALL=(ALL)  ALL
        
        # 说明
        1. root
        	   用户 
        2. ALL
        	   代表用户可以在哪台机器上执行指令,通常设置为ALL
               如果设置为localhost代表在本机上执行指令
               也可以设置为本机以外的其他IP地址或主机名,此时该/etc/sudoers虽然是在本机上配置的
               但用户登录到本机后仍然是无法执行命令的
               如果把/etc/sudoers这个配置文件赋值到指定ip或主机名的那台机器上,就好用了
            
		  配置文件中讲到:
          '''
          Next comes the main part: which users can run what software on 
          which machines (the sudoers file can be shared between multiple systems)
          '''/etc/sudoers文件可以在多个系统之间共享
          如果我们设置成ALL的话就省事了,该文件复制到任意一台机器上的完成的权限配置都一样
            
		3. (All)
        	   表示允许用户以哪个用户的权限做事情
            
        4. ALL
        	   所有命令   
            
        最终解释:root用户可以在所有主机上以任意用户身份执行所有命令 
        
		5. 示例
        	# tom用户在任何机器上,可以以任何用户身份执行任何命令等同于root用户
        	tom ALL=(ALL) ALL  
            
            # 免密
            lili ALL=(ALL) NOPASSWD: ALL  
                
            # 只允许lee用户以root用户的身份执行cp,touch命令    
            lee ALL=(ALL) /bin/cp,/bin/touch 
            
            # !代表取反
            lee01 ALL=(ALL) ALL,!/usr/bin/vim /test/a.txt 
            
            # 可以编辑所有文件,除了/test/a.txt
            lee02 ALL=(ALL) /usr/bin/passwd [a-zA-Z]*,/usr/bin/vim *,
                            !/usr/bin/vim /test/a.txt   
                
            # 测试1
            [root@lee ~]# su - lee02 
            上一次登录:二 1220 11:21:01 CST 2022pts/0[lee02@lee ~]$ sudo vim /test/b.txt
            [lee02@lee ~]$ sudo vim /test/a.txt
            对不起,用户lee02无权以root的身份在lee上执行 /bin/vim /test/a.txt
            
            # 测试2
            [root@lee ~]# su - lee 
            上一次登录:四 910 20:27:09 CST 2020pts/0[lee@lee ~]$ ll -d /etc/ 
            drwxr-xr-x. 146 root root 8192 910 20:27 /etc/ 
            [lee@lee ~]$ touch /etc/a.txt 
            touch: 无法创建"/etc/a.txt": 权限不够
            # 使用sudo提权        
            [egon@egon ~]$ sudo touch /etc/a.txt
            
		6. 总结
        	1. 尊重别人的隐私
            2. 输入前要先考虑(后果和风险)
            3. 权力越大,责任越大
            
		7. sudo 执行流程
        	1. 普通用户执行sudo命令, 会检查/var/db/sudo是否存在时间戳缓存 
            2. 如果存在则不需要输入密码, 否则需要输入用户与密码 
            3. 输入密码会检测该用户是否拥有该权限 
            4. 如果有则执行,否则报错退出

3. sudo 常用参数

sudo常用参数
	-l
    	登录用户下面,执行sudo -l 显示当前用户有哪些权限 
        
    -k
    	删除/var/db/sudo/下面对应的时间戳的信息,下次执行sudo需要输入当前用户的密码 
        系统默认也是5分钟失效
        配置免密是另一种情况 NOPASSWD: ALL远程sudo(有条件限制的)

4. sudo 实例

企业生产环境用户权限集中管理方案实例
	根据角色的不同,给不同的用户分配不同的角色

1. 创建初级工程师3个,网络工程师1个,中级工程师1个,经理1# 批量创建用户  
for user in chuji{01..03} net01 senior01 manager01
> do 
> useradd $user
> echo "111111"|passwd --stdin $user 
> done

2. 创建5个开发人员,属于phpers组
groupadd -g 999 phpers 
for n in `seq 5` 
do 
	useradd -g phpers php0$n 
done

3. 创建开发经理,中级phper
for user in kaifaManager seniorPhper 
> do 
> useradd $user 
> echo "111111"|passwd --stdin $user 
> done

4. 编辑配置文件
[root@localhost ~]# vim /etc/sudoers 
########################Cmnd_Alias By FTL ################################### 
Cmnd_Alias CY_CMD_1=/usr/bin/free, /usr/bin/iostat,/usr/bin/top, /bin/hostname, 
/sbin/ifconfig, /bin/netstat, /sbin/route Cmnd_Alias GY_CMD_1=/usr/bin/free, 
/usr/bin/iostat,/usr/bin/top, /bin/hostname, /sbin/ifconfig, /bin/netstat, /sbin/route, 
/sbin/iptables, /etc/init.d/network, /bin/nice, /bin/kill, /usr/bin/kill, 
/usr/bin/killall, /bin/rpm, /usr/bin/updatedb, /usr/bin/yum, /sbin/fdisk, /sbin/sfdisk,
/sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount Cmnd_Alias CK_CMD_1=/usr/bin/tail, 
/bin/grep, /var/log/messages* Cmnd_Alias GK_CMD_1=/sbin/service, /sbin/chkconfig, 
/bin/tail, /var/log/*, /bin/grep, /bin/cat, /bin/ls, /bin/sh Cmnd_Alias GW_CMD_1= 
/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables,
/sbin/iwconfig, /sbin/mii-tool, /bin/cat, /var/log/*

########################User Aliases By FTL ###################################
User_Alias CHUJI_YUNWEI_ADMINS=chuji01,chuji02,chuji03 
User_Alias CHUJI_KAIFA_ADMINS=php01,php02,php03,php04,php05 
User_Alias GAOJI_WANG_ADMINS=net01

########################Runas_Alias By FTL ###################################
Runas_Alias OP = root -->未来切换到某个角色执行任务

########################Config By FTL ###################################
senior01   ALL=(OP)   GY_CMD_1 
manager01  ALL=(ALL)  NOPASSWD:ALL 
kaifaManager ALL=(ALL) ALL, /usr/bin/passwd [A-Za-z], !/usr/bin/passwd
root, !/usr/sbin/visudo, !/usr/bin/vi *sudoer*, !/usr/bin/sudo su -, !/bin/su
seniorPhper ALL=(OP) GK_CMD_1 
CHUJI_YUNWEI_ADMINS ALL=(OP) CY_CMD_1 
CHUJI_KAIFA_ADMINS ALL=(OP) CK_CMD_1 
GAOJI_WANG_ADMINS ALL=(OP) GW_CMD_1

'''
注意点
    1. 命令的路径要全路径 
    2. 别名需要大写 
    3. 超过一行,用"\"换行 
    4. 排除的命令一定在最后面写 
    5. kaifaManager 因为有ALL,所以可以直接su - 切换root,但是 sudo su -切换不了
'''
I believe I can fly~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
用户提权su sudo
weixin_46946629的博客
07-31 1636
1.su命令进行提权 优点:比较方便可以直接切换root获得权限 缺点:有一定的风险,如果普通用户权限太大会出现一些安全问题 su - usename(可以进行用户切换) 那么同时普通用户如果知道root密码也可以通过su - root切换root用户,然后获得root权限,但是这样有很大的风险,如果普通用户权限太高会存在安全问题。 vim /etc/pam.d/su /etc/pam.d是一个存放有很多模块的目录 ,这些目录中有一个su模块,可以限制普通用户su的执行,凡是在wheel组.
Linux提权susudo)以及用户的权限(ugo)(超详细操作解释)
乐柚的博客
07-27 6729
Linux提权susudo)以及用户的权限(ugo) 一、 提权susudo) 1.su提权 su用户切换命令,可以通过此命令进行任何用户切换root 用户切换为普通用户(无需密码),普通用户相互切换(需要密码),普通用户切换root用户(需要密码)。 使用格式:[root@localhost ~]# su [选项] 用户名 而常用的命令命令为:[root@localhost ~]# su - 用户使用“-”的选项是因为更改为切换用户所用的工作环境,避免环境缓存对操作产生影响。 2.s
阿Q的Linux运维学习之路(day12-3)-Linux用户管理-用户提权
qq_39095114的博客
03-14 166
往往公司的服务器对外都是禁止root用户直接登录,所以我们通常使用的都是普通用户。 当我们使用普通用户执行/sbin目录下的命令时,会发现没有权限运行,这种情况下我们无法正常的管理服务器, 这时候我们就需要来给用户提升权限了。 如何提权 我们可以提权的方法有两种: 1.su切换用户使用普通用户登录,然后使用su命令切换root。优点:简单 缺点:需要知道root密码 2.sudo提权,当需要使...
【Shell 命令集合 系统管理 】Linux 切换当前用户身份为另一个用户 su命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 3478
su命令Linux中的一个重要命令,它的作用是切换当前用户身份为另一个用户。通过su命令,可以在不注销当前用户的情况下,临时切换到其他用户账号,并在以该用户身份执行命令
Linux---用户切换命令su命令sudo命令、exit命令
weixin_43961909的博客
05-26 8025
注意:使用 su 命令时,有 - 和没有 - 是完全不同的,- 选项表示在切换用户身份的同时,连当前使。su 是最简单的用户切换命令,通过该命令可以实现任何身份的切换,包括从普通用户切换root。-l:同 - 的使用类似,也就是在切换用户身份的同时,完整切换工作环境,但后面需要添加欲切换。用的环境变量也切换成指定用户的。-p:表示切换为指定用户的身份,但不改变当前的工作环境(不使用切换用户的配置文件)。-:当前用户不仅切换为指定用户的身份,同时所用的工作环境也切换为此用户的环境(包括。
Linux 权限管理-sudo授权
嗤嗤的博客
04-24 227
1. sudo授权概述 将给与普通用户可以执行超级管理员的操作进行授权,而赋予的权限越详细,普通用户得到的权限越小. 2. sudo授权查看 [root@localhost ~]# visudo ## Sudoers allows particular users to run various commands as ## the root user, without needing the r...
linux用户-组-权限管理
LDF-Dicky的博客
07-31 299
用户:每一个用户系统分配唯一的id号UID(0~65535),每一个用户必须属于一个基本的组,还可以加入其他组,用户必须设置密码才能登录 #分类 普通用户 uid>=500 系统用户    #用于运行系统进程,不需要登录系统 0 root用户 uid=0 组:每个组系统分配唯一的id号GID,一个组可以有多个成员 #按照uid分类: 普通组 uid>=500 系统组 0
Linuxsudosusu -命令的区别小结
01-10
只有在一些特殊情况下才采用登录root执行管理任务,一般情况下临时使用root权限多采用susudo命令su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户tom登录的,但要添加用户任务,执行useradd ,tom...
06_linux系统常用指令-用户权限管理.zip
11-26
1. **用户管理**: - **添加用户**:使用`useradd`命令可以创建新用户,例如`useradd username`。 - **删除用户**:使用`userdel`命令删除用户,但需谨慎操作,因为它会连同用户的主目录一起删除,如`userdel -r ...
Linux命令susudosudo susudo -i使用和区别.doc
09-14
`sudo su`组合使用,首先使用sudo提升权限,然后执行su命令切换root用户。这与直接使用`su root`的效果相似,但需要当前用户sudoers文件中有使用sudo的权限。执行这个命令后,用户会被要求输入当前用户的密码,...
华为光猫root提权su密码解密工具
07-21
华为光猫telnet进入root账户后su提权会产生动态用户名,此软件就是用来解析动态用户名的密码软件。使用起来很方便。
sudo提权和普通用户免密切换root详细笔记
07-02
Linux系统中,`sudo` 是一个非常重要的命令,它允许普通用户以管理员(或root)权限执行特定的命令。这个功能在运维工作中极其常见,因为它可以提高安全性,避免频繁切换root账户。本笔记将详细讲解如何通过`...
Linux命令su -- 用于切换当前用户身份到其他用户身份
liaowenxiong的博客
09-27 6822
文章目录命令介绍常用选项su 命令存在的安全隐患参考示例切换成指定的用户身份,但是环境变量不变 命令介绍 su 命令用于切换当前用户身份到其他用户身份,或者以指定用户的身份执行命令或程序。变更时须输入所要变更的用户帐号与密码。 普通用户切换root 用户,可以使用 su -- 或 su root,但是必须输入 root 密码才能完成切换root 用户切换到普通用户,可以使用 su username,不需要输入任何密码即可完成切换。 常用选项 选项 说明 -c<指令>或–co
linuxsu用户名,su命令切换用户有什么注意事项?linux系统命令
weixin_33998219的博客
05-14 530
su命令用于将当前用户切换到指定用户或者以指定用户的身份执行命令或程序。su切换用户命令Linux运维管理员工作中常用到的命令,是linux运维学习者需掌握的知识点之一。那么su命令切换用户有什么注意事项?su命令参数选项有什么?su命令切换用户有什么注意事项?1)从root用户切换到普通用户时,不需要任何密码;从普通用户切换root用户时,需要输入root密码。2)“su用户名”虽然能够切换...
linux用户提权susudo的理解和用法
shengjie87的博客
06-22 2477
用户提权susudo概述永久提权su临时提权sudo 概述 众所周知,在Linux下对很多文件进行修改都需要有root权限,比如创建、删除用户等操作,但是很多情况下我们仅仅只是以普通用户的身份登录到系统的,因为安全性考虑往往不会让除网络管理员之外的人员用root的身份登录,那么我们要完成一些特定的临时任务怎么办呢? 方法有2个: 用su切换root用户登陆系统,进行管理操作,但必须要知道root密码,而且因为身份切换过来了他就可以进行任何root可以的操作,这也是非常不安全的 在执行的命令前面加上su
Linuxsusudo 等 “切换用户命令
最新发布
书山有路,学海无涯。记录成长,追逐梦想
10-10 3041
总的来说,这些命令在 Ubuntu 和 CentOS 中的用法基本相同,但具体行为会略有不同。建议在使用这些命令时先了解其具体行为和安全性问题,以避免潜在的风险和影响。
Ubuntu中root用户和user用户的相互切换
weiweiqiao的专栏
06-18 2296
执行 sudo passwd -l root 即可(只是禁用root,但是root密码还保存着),再执行su root发现认证失败,Ubuntu是最近很流行的一款Linux系统,因为Ubuntu默认是不启动root用户,现在介绍如何进入root的方法。的,貌似是每5分钟改变一次,所以用su(switch user)是不可以的,因为我们不知道root的密码。默认root用户是无固定密码的,并且是被锁定的,如果想给root设置一个密码。注意:给root设定密码后,仍可以 sudo su 切换root用户
curl和wget的区别和使用
qq_31455841的博客
12-01 1964
Linux_Docker_容器
linux系统没法su - root
05-25
如果你在 Linux 系统上无法使用命令 "su - root" 切换root 用户,可能是因为 root 用户被禁用了。在一些 Linux 发行版中,默认情况下禁用了 root 用户,将其替换为使用 sudo 命令来进行管理员权限的操作。 如果你确实需要使用 root 用户,可以尝试以下方法: 1. 检查是否设置了 root 用户密码。如果没有设置,则无法使用 su 命令切换root 用户。你可以使用 "sudo passwd root" 命令来为 root 用户设置密码。 2. 检查是否有足够的权限。如果你不是系统管理员或者没有 sudo 权限,则无法使用 su 命令切换root 用户。 3. 如果上述两种方法都无法解决问题,那么你可以尝试使用 "sudo su -" 命令切换root 用户。这将使用 sudo 命令来获取管理员权限,并且将你切换root 用户的环境中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I believe I can fly~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值