Linux——使用者身份切换

1、su

[root@study ~]# su [-lm] [-c 指令] [username]
选项与参数：
- ：单纯使用 - 如『 su - 』代表使用 login-shell 的变量文件读取方式来登入系统；
 若使用者名称没有加上去，则代表切换为 root 的身份。
-l ：与 - 类似，但后面需要加欲切换的使用者账号！也是 login-shell 的方式。
-m ：-m 与 -p 是一样的，表示『使用目前的环境设定，而不读取新使用者的配置文件』
-c ：仅进行一次指令，所以 -c 后面可以加上指令喔！

单纯使用su方式切换为人root用户，读取的变量设定方式为non-login shell的方式，这种方式的很多原本变量不会改变

范例三：dmtsai 想要执行『 head -n 3 /etc/shadow 』一次，且已知 root 密码
[dmtsai@study ~]$ head -n 3 /etc/shadow
head: cannot open `/etc/shadow' for reading: Permission denied
[dmtsai@study ~]$ su - -c "head -n 3 /etc/shadow"
Password: <==这里输入 root 的密码喔！
root:$6$wtbCCce/PxMeE5wm$KE2IfSJr.YLP7Rcai6oa/T7KFhOYO62vDnqfLw85...:16559:0:99999:7:::
bin:*:16372:0:99999:7:::
daemon:*:16372:0:99999:7:::
[dmtsai@study ~]$ <==注意看，身份还是 dmtsai 喔！继续使用旧的身份进行系统操作！

总结：

· 若要完整的切换到新使用者的环境，必须要使用『 su - username 』或『 su -l username 』， 才会连同
PATH/USER/MAIL 等变量都转成新用户的环境；
· 如果仅想要执行一次 root 的指令，可以利用『 su - -c "指令串" 』的方式来处理；
· 使用 root 切换成为任何使用者时，并不需要输入新用户的密码；

2、sudo

相对于su切换用户，sudo执行则仅需要自己的密码即可，甚至不需要设定密码就能进行切换。并非所有用户都可以执行sudo指令，仅有规范到/etc/sudoers的用户才可以执行sudo指令。一般用户需要通过管理员的审核才能开放sudo的使用权。

<1>sudo的用法

一般系统默认只有root可以执行sudo。

 

[root@study ~]# sudo [-b] [-u 新使用者账号]
选项与参数：
b ：将后续的指令放到背景中让系统自行执行，而不与目前的 shell 产生影响
-u ：后面可以接欲切换的使用者，若无此项则代表切换身份为 root 。
范例一：你想要以 sshd 的身份在 /tmp 底下建立一个名为 mysshd 的文件
[root@study ~]# sudo -u sshd touch /tmp/mysshd
[root@study ~]# ll /tmp/mysshd
-rw-r--r--. 1 sshd sshd 0 Jul 21 23:37 /tmp/mysshd
# 特别留意，这个文件的权限是由 sshd 所建立的

sudo的执行流程：

（1）当用户执行 sudo 时，系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限；
（2）若使用者具有可执行 sudo 的权限后，便让使用者『输入用户自己的密码』来确认；
（3）若密码输入成功，便开始进行 sudo 后续接的指令(但 root 执行 sudo 时，不需要输入密码)；
（4）若欲切换的身份与执行者身份相同，那也不需要输入密码。

<2>visudo与/etc/sudoers

由于/etc/sudoers有一定的规范，所以我们需要透过visudo去修改该文件

（1）单一用户可进行root所有指令与sudoers文件语法

使用visudo指令后打开文件，显示内容如下

以上四个组件的意义：

 

[1] 『使用者账号』：系统的哪个账号可以使用 sudo 这个指令的意思；
[2] 『登入者的来源主机名』：当这个账号由哪部主机联机到本 Linux 主机，意思是这个账号可能是由哪一部网络主机联机过                                           来的， 这个设定值可以指定客户端计算机(信任的来源的意思)。默认值 root 可来自任何一部网络主机
[3] 『(可切换的身份)』：这个账号可以切换成什么身份来下达后续的指令，默认 root 可以切换成任何人；
[4] 『可下达的指令』：可用该身份下达什么指令？这个指令请务必使用绝对路径撰写。 预设 root 可以切换任何身份且进行                                              任何指令之意。

（2）利用wheel群组以及免密功能处理visudo

 

[root@study ~]# visudo <==同样的，请使用 root 先设定
%wheel ALL=(ALL) ALL <==大约在 106 行左右，请将这行的 # 拿掉！
# 在最左边加上 % ，代表后面接的是一个『群组』之意！改完请储存后离开
[root@study ~]# usermod -a -G wheel pro1 <==将 pro1 加入 wheel 的支持
上面的设定值会造成『任何加入 wheel 这个群组的使用者，就能够使用 sudo 切换任何身份来操作任何指令』的意思。 你当然可以将 wheel 换成你自己想要的群组名。接下来，请分别切换身份成为 pro1 及 pro2 试看看 sudo 的运作。
[pro1@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是 pro1
[sudo] password for pro1: <==输入 pro1 的密码喔！
pro3:$6$DMilzaKr$OeHeTDQPHzDOz/u5Cyhq1Q1dy...:16636:0:99999:7:::
[pro2@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是 pro2
[sudo] password for pro2: <==输入 pro2 的密码喔！
pro2 is not in the sudoers file. This incident will be reported.
# 仔细看错误讯息他是说这个 pro2 不在 /etc/sudoers 的设定中！
这样理解群组了吧？如果你想要让 pro3 也支持这个 sudo 的话，不需要重新使用 visudo ，只要利用 usermod 去修改 pro3 的群组支持，让 pro3 用户加入 wheel 群组当中，那他就能够进行 sudo 啰！ 好了！那么现在你知道为啥在安装时建立的用户，就是那个 dmstai 预设可以使用 sudo 了吗？请使用『 id dmtsai 』看看， 这个用户是否有加入 wheel 群组呢？嘿嘿！了解乎？
Tips 从 CentOS 7 开始，在 sudoers 文件中，预设已经开放 %wheel 那一行啰！以前的 CentOS 旧版本都是没有启用的呢！简单吧！不过，既然我们都信任这些 sudo 的用户了，能否提供『不需要密码即可使用 sudo 』呢？就透过如下的方式：
[root@study ~]# visudo <==同样的，请使用 root 先设定
%wheel ALL=(ALL) NOPASSWD: ALL <==大约在 109 行左右，请将 # 拿掉！
# 在最左边加上 % ，代表后面接的是一个『群组』之意！改完请储存后离开
重点是那个 NOPASSWD 啦！该关键词是免除密码输入的意思喔！

（3）有限制的指令操作：
上面两点都会让使用者能够利用 root 的身份进行任何事情！这样总是不太好～如果我想要让用户仅能够进行部分系统任务，比方说，系统上面的 myuser1 仅能够帮 root 修改其他用户的密码时，亦即『当使用者仅能使用 passwd 这个指令帮忙 root 修改其他用户的密码』时，你该如何撰写呢？可以这样做：
[root@study ~]# visudo <==注意是 root 身份
myuser1 ALL=(root) /usr/bin/passwd <==最后指令务必用绝对路径
上面的设定值指的是『myuser1 可以切换成为 root 使用 passwd 这个指令』的意思。其中要注意的是： 指令字段必须要填写绝对路径才行！否则 visudo 会出现语法错误的状况发生！ 此外，上面的设定是有问题的！我们使用底下的指令操作来让您了解：
[myuser1@study ~]$ sudo passwd myuser3 <==注意，身份是 myuser1
[sudo] password for myuser1: <==输入 myuser1 的密码
Changing password for user myuser3. <==底下改的是 myuser3 的密码喔！这样是正确的
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[myuser1@study ~]$ sudo passwd
Changing password for user root. <==见鬼！怎么会去改 root 的密码？
恐怖啊！我们竟然让 root 的密码被 myuser1 给改变了！下次 root 回来竟无法登入系统...欲哭无泪～怎办？ 所以我们必须要限制用户的指令参数！修改的方法为将上述的那行改一改先：
[root@study ~]# visudo <==注意是 root 身份
myuser1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
在设定值中加上惊叹号『 ! 』代表『不可执行』的意思。因此上面这一行会变成：可以执行『 passwd 任意字符』，但是『 passwd 』与『 passwd root 』这两个指令例外！ 如此一来 myuser1 就无法改变 root 的密码了！这样这位使用者可以具有 root 的能力帮助你修改其他用户的密码， 而且也不能随意改变 root 的密码！很有用处的！

（4）透过别名建置 visudo：
如上述第三点，如果我有 15 个用户需要加入刚刚的管理员行列，那么我是否要将上述那长长的设定写入 15 行啊？ 而且如果想要修改命令或者是新增命令时，那我每行都需要重新设定，很麻烦ㄟ！有没有更简单的方式？ 是有的！透过别名即可！我们 visudo 的别名可以是『指令别名、帐户别名、主机别名』等。不过这里我们仅介绍帐户别名， 其他的设定值有兴趣的话，可以自行玩玩！假设我的 pro1, pro2, pro3 与 myuser1, myuser2 要加入上述的密码管理员的 sudo 列表中， 那我可以创立一个帐户别名称为 ADMPW 的名称，然后将这个名称处理一下即可。处理的方式如下：
[root@study ~]# visudo <==注意是 root 身份
User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2
Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
ADMPW ALL=(root) ADMPWCOM
我透过 User_Alias 建立出一个新账号，这个账号名称一定要使用大写字符来处理，包括Cmnd_Alias(命令别名)、Host_Alias(来源主机名别名) 都需要使用大写字符的！这个 ADMPW 代表后面接的那些实际账号。 而该账号能够进行的指令就如同 ADMPWCOM 后面所指定的那样！上表最后一行则写入这两个别名 (账号与指令别名)， 未来要修改时，我只要修改 User_Alias 以及 Cmnd_Alias 这两行即可！设定方面会比较简单有弹性喔！

（5）sudo 的时间间隔问题：
或许您已经发现了，那就是，如果我使用同一个账号在短时间内重复操作 sudo 来运作指令的话，在第二次执行 sudo 时，并不需要输入自己的密码！sudo 还是会正确的运作喔！为什么呢？ 第一次执行 sudo 需要输入密码，是担心由于用户暂时离开座位，但有人跑来你的座位使用你的账号操作系统之故。 所以需要你输入一次密码重新确认一次身份。两次执行 sudo 的间隔在五分钟内，那么再次执行 sudo 时就不需要再次输入密码了， 这是因为系统相信你在五分钟内不会离开你的作业，所以执行 sudo 的是同一个人！呼呼！真是很人性化的设计啊～ ^_^。不过如果两次 sudo 操作的间隔超过 5 分钟，那就得要重新输入一次你的密码
了 (注 4)

（6） sudo 搭配 su 的使用方式：
很多时候我们需要大量执行很多 root 的工作，所以一直使用 sudo 觉得很烦ㄟ！那有没有办法使用 sudo 搭配 su ， 一口气将身份转为 root ，而且还用用户自己的密码来变成 root 呢？是有的！而且方法简单的会让你想笑！ 我们建立一个 ADMINS 帐户别名，然后这样做：
[root@study ~]# visudo
User_Alias ADMINS = pro1, pro2, pro3, myuser1
ADMINS ALL=(root) /bin/su -
接下来，上述的 pro1, pro2, pro3, myuser1 这四个人，只要输入『 sudo su - 』并且输入『自己的密码』后， 立刻变成 root 的身份！不但 root 密码不会外流，用户的管理也变的非常方便！ 这也是实务上面多人共管一部主机时常常使用的技巧呢！这样管理确实方便，不过还是要强调一下大前提， 那就是『这些你加入的使用者，全部都是你能够信任的用户』！