【Linux】疑问易答 | su与 sudo 命令你真的会用?

已于 2024-04-05 22:43:55 修改
阅读量98 收藏
点赞数
文章标签: 服务器 linux 运维
于 2023-02-04 13:47:43 首次发布
GokuCode
本文链接:https://blog.csdn.net/weixin_44331765/article/details/132463760
版权

旭哥

读完需要

12

分钟

速读仅需 4 分钟

/ su 与 sudo 命令你真的会用? /

ed9f4fe4ac9de245c6ad582eb1a3cad0.png

1

   

1 su:切换用户

1.1

   

背景说明

在 Linux 中有多个用户,比如 root、master、worker 等,那我想从一个用户切换到另一个用户如何切换呢?比如登录 master 用户后,突然想去切换到 worker 用户执行一个命令,操作一个 worker 用户下的文件。这个时候切换用户有多个方法

  • 退出当前用户,然后登录到 worker 用户

  • 第二个就是通过 su 命令进行切换

1.2

   

命令格式

su 切换用户
# 例如从root用户切换为master用户
[root@test /]$ su master

2

   

2 sudo:以其他用户的身份执行命令

2.1

   

命令出现原因

su 的确为用户切换带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作;


但通过su切换到root后,也有不安全因素;
比如系统有10个用户,而且都参与管理。
如果这10个用户都涉及到超级权限的运用,做为管理员如果想让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;


如果这10个用户都有root权限,通过root权限可以做任何事,这在一定程度上就对系统的安全造成了威协。
因此sudo产生了。


sudo可以在不切换用户的情况下以其他用户的身份执行命令。

2.2

   

命令参数详解

-V 显示版本编号


-h 会显示版本编号及指令的使用方式说明


-l 显示出自己(执行 sudo 的使用者)的权限


-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码


-k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)


-b 将要执行的指令放在背景执行


-p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称


-u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)


-s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell


-H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root )


command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令

2.3

   

命令使用

问:如何使用命令呢?

答:那就要有以下 2 步:

  • 配置文件

  • 授权用户

详解:

说完了 sudo 命令的作用,那如果我想使用 sudo 特殊权限命令该如何使用?

其中就要去配置一下这个文件:/etc/sudoers

[root@test ~]$ ls -al /etc/sudoers
-r--r----- 1 root root 4027 Aug 16 10:43 /etc/sudoers

如何编辑这个文件呢?(有的同学会说使用 vi 即可。这个也是一种方法)

以下推荐两种方式编辑配置文件

  1. (不推荐)vi /etc/sudoers 使用 vi 要注意,我们看到该文件是只读的,所以这里要首先授权可写才可以编辑

    [root@test ~]$ chmod u+w /etc/sudoers
   [root@test ~]$ vi /etc/sudoers
   [root@test ~]$ chmod u-w /etc/sudoers

  2. (推荐)visudo 命令:该命令可以直接打开编辑

    [root@test ~]$ visudo

测试场景 1:

授权命令这里以 worker 用户为例,对 worker 用户授权命令/sbin/shutdown -c

  1. 未授权之前,在 worker 用户下执行命令:

[worker@linux1 ~]$ shutdown -c
Failed to talk to shutdownd, shutdown hasn't been cancelled: Permission denied

  1. 使用 visudo(root 用户下)编辑软件授权:添加如下两行

    授权用户/组 主机名=(允许转换至的用户) NOPASSWD:命令动作 master ALL=(ALL) NOPASSWD:ALL

## Allows members of the users group to mount and unmount the
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
#授权用户/组    主机名=(允许转换至的用户)     NOPASSWD:命令动作
master    ALL=(ALL)       NOPASSWD:ALL
worker    ALL=(master)    /sbin/shutdown -c,/bin/sudo
# 不需要密码
# worker    ALL=(ALL)     NOPASSWD:/sbin/shutdown -c

  1. 授权后:当执行命令时,可以看到会提示让输入密码

解释下为什么会让输入密码:这里的密码是输入 sudo 命令的密码,而我们给 worker 的权限是 /sbin/shutdown -c 和/bin/sudo 命令,而且这两个命令都需要输入密码才可以使用,因为没有配置 NOPASSWD:/bin/sudo。

  • 因为 sudo 是 worker 的命令(worker ALL=(master) /sbin/shutdown -c,/bin/sudo)这个命令没有授权不输入密码(NOPASSWD),所以这里需要输入密码。

  • 而 shutdown -c 是 master 执行的,它没有要求输入密码,所以这里会直接执行不用输入密码

# sudo使用-u 以master用户身份执行shutdown -c
[worker@linux1 ~]$ sudo -u master sudo shutdown -c
Password: 
[worker@linux1 ~]$ 
Broadcast message from root@bsa161 (Thu 2023-02-02 13:29:37 CST):


The system shutdown has been cancelled at Thu 2023-02-02 13:30:37 CST!

测试场景 2:

说明:在 worker 用户下以 wilson 的身份执行编辑属于 wilson 用户的文件 aaa.txt

用户:worker:/home/worker 目录下没有文件

用户:wilson:/home/wilson 目录下有文件 aaa.txt

用户:root

  • 不授权 sudo 给用户 worker 和 wilson

  • 登录 worker 用户,执行命令 vi 编辑/home/wilson/aaa.txt 文件

  • 第二步行不通的话再执行 sudo -u wilson vi /home/wilson/aaa.txt

  • 第三步无法编辑,就可以授权 vi 命令,两个用户都需要密码,配置如下

    wilson ALL=(ALL) ALL
  worker ALL=(wilson) /bin/vi

执行结果

# 目录显示
[root@linux1 ~]# ls /home/worker/
[root@linux1 ~]# ls /home/wilson/
aaa.txt  aa.txt  bbb.txt
[worker@linux1 ~]$ sudo -u wilson vi /home/wilson/aaa.txt
[sudo] worker 的密码:

2.4

   

配置文件格式介绍

  1. 定义别名

    比如我有好多命令有关/bin/chown, /bin/chmod,等这个时候如果写在授权哪里比较长,我们可以进行归类。所以就有别名,这个可以理解为命令组。

    例如:

    Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root(注意这里的!)

  2. 具体使用案例

# 1. 定义别名
User_Alias SYSADER=beinan,linuxsir,%beinan
User_Alias DISKADER=lanhaitun
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root(注意这里的!)
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注:定义命令别名DSKCMD,下有成员parted和fdisk 
   SYSADER  ALL= SYDCMD,DSKCMD
   DISKADER ALL= (OP) DSKCMD


# 注解:
# 第一行:定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员,用户组前面必须加%号;


# 第二行:定义用户别名 DISKADER ,成员有lanhaitun


# 第三行:定义Runas用户,也就是目标用户的别名为OP,下有成员root


# 第四行:定义SYSCMD命令别名,成员之间用,号分隔,最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码;


# 第五行:定义命令别名DSKCMD,下有成员parted和fdisk ;


# 第六行:表示授权SYSADER下的任何成员,在任何可能存在的主机名的主机下运行或禁止 SYDCMD和DSKCMD下定义的命令。
# 更为明确遥说,beinan、linuxsir和beinan用户组下的成员能以root身份运行 chown 、chmod 、adduser、passwd,但不能更改root的密码;
        也能够以root身份运行 parted和fdisk ,
        本条规则的等价规则是;
        
    beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk


# 第七行:表示授权DISKADER 下的任何成员,能以OP的身份,来运行 DSKCMD ,无需密码;更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令;其等价规则是:
    lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk
# 如果我想不输入用户的密码就能转换到root并运行 SYDCMD 和 DSKCMD 下的命令,那应该把把NOPASSWD:加在哪里为好?参考下面例子;
    SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

2.5

   

授权用户组

  1. 命令格式,组前面需要添加%

    # %组名   ALL=(主机来源)  命令绝对路径
   %gourp  ALL=(ALL)       /usr/bin/yum

  2. 测试

    wilson ALL=(ALL) /bin/ls
   # worker ALL=(wilson) /bin/ls,/bin/vi
   %worker ALL=(wilson) /bin/ls,/bin/vi

    用户 worker2 所属组 worker2

    用户 worker 所属组 worker

    用户 wilson 所属组 wilson

    执行步骤:

    第一步:登录用户执行 sudo -u wilson vi /home/wilson/aaa.txt

    [worker2@linux1 root]$ sudo -u worker2 vi /home/worker/aaa.txt
   worker2 不在 sudoers 文件中。此事将被报告。

    第二步:配置用户组权限

    wilson ALL=(ALL) /bin/ls
   # worker ALL=(wilson) /bin/ls,/bin/vi
   %worker ALL=(wilson) /bin/ls,/bin/vi

    第三步:修改 worker2 所属组为 worker

    [root@linux1 ~]# usermod -g worker worker2

    第四步:执行命令

    [worker2@linux1 root]$ sudo -u wilson vi /home/worker/aaa.txt
   
   我们信任您已经从系统管理员那里了解了日常注意事项。
   总结起来无外乎这三点:
   
       #1) 尊重别人的隐私。
       #2) 输入前要先考虑(后果和风险)。
       #3) 权力越大,责任越大。
   
   [sudo] worker2 的密码:
GokuCode
关注
Linux命令susudosudo susudo -i使用和区别.doc
09-14
Linux操作系统中,掌握susudo以及它们的不同变体如sudo susudo -i的使用是至关重要的。这些命令主要用于管理权限,特别是当需要以管理员(root)权限执行任务时。下面将详细介绍这些命令的使用和区别。 1. **...
Linux susudo命令
u012967763的专栏
01-01 206
1、susudo su命令的主要作用是让你可以在已登录的会话中切换到另外一个用户。换句话说,这个工具可以让你在不登出当前用户的情况下登录为另外一个用户。su命令经常被用于切换到超级用户或 root 用户(因为在命令行下工作,经常需要 root 权限),但是 - 正如前面所提到的 - su 命令也可以用于切换到任意非 root 用户。 sudo命令不能进行当前用户切换...
susudo命令(概念+运用)
qq_70756940的博客
04-16 1980
首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。2、允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。
Linux切换root用户,user 不在 sudoers 文件中。此事将被报告
进击的小白
01-12 3480
现象 切换root用户时失败 [test1@xxx /]$ sudo root 我们信任您已经从系统管理员那里了解了日常注意事项。 总结起来无外乎这三点: #1) 尊重别人的隐私。 #2) 输入前要先考虑(后果和风险)。 #3) 权力越大,责任越大。 [sudo] test1 的密码: test1 不在 sudoers 文件中。此事将被报告。 原因 因为linux系统中对管理员权限sudo操作进行了控制,防止一般用户进行sudo操作,因此需要对管理员权限用户进行管理,
susudosudo susudo -i sudo -l的用法和区别
热门推荐
mutou990的博客
08-01 4万+
sudo -l 查看sudo的权限; su是申请切换root用户,需要申请root用户密码。有些Linux发行版,例如ubuntu,默认没有设置root用户的密码,所以需要我们先使用sudo passwd root设置root用户密码。 而sudo su是当前用户暂时申请root权限,所以输入的不是root用户密码,而是当前用户的密码。sudo是用户申请管理员权限执行一个操作,而此处的操作就是变成管理员。 在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺
账号与密码安全
fangandpu的博客
09-24 2482
一、 一、系统的安全隐患 世界上没有绝对安全的系统,即使是普遍认为稳定的Linux系统,在管理和安全方面也存在不足之处。我们期望让系统尽量在承担低风险的情况下工作,这就要加强对系统安全的管理。 防御措施:让系统只能硬盘启动,给予一定的权限让root用户不在随意的修改密码,定时管理查看服务器内用户账户与权限设置,定时查看日志任务,购买防火墙抵御外来攻击。 1.1 系统账号清理与管理 将非登录用户的...
Linuxsudosusu -命令的区别小结
01-10
只有在一些特殊情况下才采用登录root执行管理任务,一般情况下临时使用root权限多采用susudo命令su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户tom登录的,但要添加用户任务,执行useradd ,tom...
面试:说说Linux 命令 susudo 的区别?.zip
02-19
Linux操作系统中,掌握一些基本的命令行...了解`su`和`sudo`的用法和差异,不仅有助于你在面试中回答问题,还能在实际工作中更安全、高效地管理Linux系统。在日常操作中,应根据任务需求和安全性考虑选择合适的命令
Linux 命令 susudo 的区别.doc
05-13
Linux 命令 susudo 的区别 在 Linux 系统中,susudo 两个命令都是用于身份切换的,但是它们有着不同的使用方法和权限机制。 一、su 命令 su 命令全称为 switch user,用于切换用户身份。su 命令可以在不...
linux susudo命令的区别
08-03
Linux操作系统中,管理和执行需要特定权限的任务时,经常需要用到两个关键命令:`su` 和 `sudo`。这两个命令都允许非特权用户暂时获得管理员权限,但它们在使用方式和安全策略上有显著的区别。 首先,让我们详细...
susudo 的简单用法
一人 一世界
02-22 1520
su  和  sudo 的使用 1.   su  su 命令作用是直接将身份变成其他用户,需要输入其他用户的密码。     这个是我现在以zhang用户这个登录时,查询到的和'zhang'用户相关的环境变量,注意观察PATH,MAIL,PWD        等的值。现在我使用 su 命令切换到root用户,此处必须要输入root的密码。
susudo命令实际工作中的作用
weixin_46136890的博客
07-29 547
susudo命令实际工作中的作用
susudo的使用
m0_49669125的博客
05-07 345
一,su (1)su作用 管理员到普通用户之间相互切换使用 (2)特点 管理员切换到普通用户不需要输入密码 普通用户切换到管理员需要输入密码 二,su帐户的切换使用 (1)切换账户不修改宿主目录 (2)切换到普通用户宿主目录 (3)切换到管理员账户宿主目录 三,配置限制指定用户使用su命令切换账户 (1)将允许使用su命令账户添加到wheel组中 (2)配置pam身份验证 四,sudo (1)sudo作用 授权普通用户执行管理员命令 (2)sudo的特点 授权执行命令 防止发生误操作 五,配置
系统安全:susudo
wuhao930715的博客
05-16 1218
目录一、su二、sudo 一、su 一、作用和格式 作用:用于用户切换 格式: su:只是切换了root身份,但Shell环境仍然是普通用户的Shell su -:用户和Shell环境一起切换成root身份 su 用户名:只是切换了用户的身份,但Shell环境仍然是root用户的Shell su - 用户名:用户和Shell环境一起切换成指定用户 二、sudo ...
Linuxsudosu命令
llljjlj的博客
09-27 3393
sudo : 暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。 su : 切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su 账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。 sudo -i: 为了频繁的执行某些只有超级用户才能...
sudo 命令_susudosudo susudo -i的用法和区别
tangsiqi130的博客
07-20 5570
sudo 命令_susudosudo susudo -i的用法和区别
Linux 】系统学习 | Linux 下的susudo命令你以为你会用了?
02-04 2908
系统学习 | Linux 下的susudo命令你以为你会用了?
Linux之用户不在 sudoers 文件中。此事将被报告。
枫叶2000的博客
03-06 4026
用户不在 sudoers 文件中。此事将被报告。
Linux基础指令用户管理003
最新发布
2301_82262225的博客
05-29 322
Linux基础指令002我们讲了如何设置用户密码以及修改用户信息,我们讲一下高级用户管理。
理解Linuxsusudo命令的区别与使用
"Linux 命令 susudo 的区别" 在Linux操作系统中,`su` 和 `sudo` 是两个非常重要的命令,它们都用于在不同的权限级别执行命令或任务,但有着本质的区别。理解这两个命令的用法对于系统管理至关重要。 1. `su` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值