簡短介紹
su與su -
su 切換到root用戶,但是并沒有轉到root用戶家目錄下,即沒有改變用戶的環境,
su - 切換到root用戶,并轉到root用戶的家目錄下,即改變到了root用戶的環境,
這個涉及到不同用戶下的環境變數的配置,
sudo
通過sudo,我們能把某些超級權限有針對性的下放,并且不需要普通用戶知道root密碼(sudo用的不是root密碼,而是當前用戶密碼),所以sudo相對于權限無限制性的su來說,還是比較安全的,所以sudo也能被稱為受限制的su,另外sudo是需要授權許可的,所以也被稱為授權許可的su,
sudo執行命令的流程是當前用戶切換到root(或其他指定切換到的用戶),然后以root(或其他指定的切換到的用戶)身份執行命令,執行完成后,直接退回到當前用戶,而這些的前提是要通過sudo的組態檔/etc/sudoers來進行授權,
sudo的組態檔是/etc/sudoers,我們可以用他的專用編輯工具visodu來進行配置,配置好后,可以切換到您授權的用戶下,通過sudo -l來查看哪些命令是可以執行或禁止的,
之所以把這三個命令拿出來,是要提醒自己這三個命令是有區別的,在使用時遇到錯誤就要仔細想一下,
至于怎樣配置使用sudo,一般不做服務器管理應該用不到,這里不做詳細介紹,需要的時候可以去學習,
詳細介紹
一.su
su是最簡單的身份切換名,用su我們能夠進行不論什么用戶的切換,一般都是su - username,然后輸入password就ok了,可是root用su切換到其它身份的時候是不須要輸入password的,起初我都是用su來切換的,后來老大看見了說我這樣的方式切換是不好的,你能夠嘗試其它的方式來切換,我認為這樣切換非常方便啊,那究竟是不好在哪里呢,后面再看另外一種身份的切換方式就知道了,
? 一般我們切換身份都是切換到root,然后進行一些僅僅有root能干的事,比方改動組態檔,比方下載安裝軟體,這些都僅僅能是root才有權限干的事,切換到root能夠是單純的su,或者是su -和su - root,后面兩個是一樣的意思,
單純使用su切換到root,讀取變數的方式是non-login shell,這樣的方式下非常多的變數都不會改變,尤其是PATH,所以root用的非常多的命令都僅僅能用絕對路徑來運行,這樣的方式僅僅是切換到root的身份,
而用su -這樣的方式的話,是login shell方式,它是先以root身份登錄然后再運行別的操作,
? 假設我們僅僅要切換到root做一次操作就好了,僅僅要在su后面加個-c參數就好了,運行完這次操作后,又會自己主動切換回我們自己的身份,非常方便,
? 那么假設有非常多人管理這個主機的話,那不是非常多人都要知道root的password嗎,并且可能有的人僅僅是單純的進行一次root操作就能夠了,這個時候,su方式就不是非常好,rootpassword越少人知道越好,越少人知道就越安全,這時就須要另外一種方式了,
二.sudo
相比于su切換身份須要用戶的password,常常性的是須要rootpassword,sudo僅僅是須要自己的password,就能夠以其它用戶的身份來運行命令,常常是以root的身份運行命令,也并不是全部人都能夠用sudo:
[eternity@izm5e2q95pbpe1hh0kkwoiz ~]$ sudo head -n 3 /etc/shadow
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for eternity:
eternity is not in the sudoers file. This incident will be reported.
這里我要查看/etc/shadow這個檔案的前三行,可是卻發現看不了,提示的錯誤是說我當前這個用戶不在sudoers這個檔案,所以sudo是依賴于/etc/sudoers這個組態檔的,
sudo的運行有這樣一個流程:
- 當用戶運行sudo時,系統于/etc/sudoers檔案里查找該用戶是否有運行sudo的權限;
- 若用戶具有可運行sudo的權限,那么讓用戶輸入用戶自己的password,注意這里輸入的是用戶自己的password,
- 假設password正確,變開始進行sudo后面的命令,root運行sudo是不須要輸入password的,切換到的身份與運行者身份同樣的時候,也不須要輸入password,
以下看看/etc/sudoers這個組態檔:
為何剛開始僅僅有root能運行sudo,切換到root身份通過visudo查看/etc/sudoers這個組態檔,假設是vim /etc/sudoers是能夠查看的,可是不能改動,由于sudoers這個檔案是由語法的,僅僅能通過visudo來改動,第一個紅色方框那行代碼,這行代碼是什么意思呢,
第一列root不用多說,是用戶賬號,第二列的ALL意思是登陸者的來源主機名,第三列等號右邊小括號里的ALL是代表能夠切換的身份,第四列ALL是可運行的命令,
1).單個用戶的sudoers語法:
假設我要我當前這個用戶能運行root的全部操作,那么我僅僅要加一行learnpython ALL=(ALL) ALL,那么假設有非常多人須要運行sudo,那不是要寫撰寫非常多行啊,這樣不是非常麻煩,這樣就要用到用戶組了,
2).利用用戶組處理visudo:
看看第二個紅色方框那行代碼,%wheel代表wheel用戶組,假設我們將須要運行root全部操作的用戶都加入到wheel用戶組,或者我們自己定義的用戶組,然后加入一行代碼,那么就不用一個用戶一個用戶的加入進來了,這樣不是非常省事啊,
3).限制用戶sudo的權限:
可是常常我們不須要用戶有那么大的權限,僅僅要讓他們具有他們負責范圍的權限就能夠了,比方有的有的人來管理password,我們就僅僅讓他能進行password的管理,而不讓他有別的權限,這樣就須要權限的控制了,
假設我讓我當前用戶來管理password,即learnpython這個用戶能使用passwd這個命令來幫root改動用戶password,僅僅要加這行learnpython ALL=(root) /usr/bin/passwd,那么learnpython這個用戶就能夠使用passwd這個命令了:
可是假設僅僅是運行sudo passwd命令,改動的就是root的password,當然我們不希望普通用戶能具有改動rootpassword的權限,那么在visudo的時候就須要將命令的參數限制好,如改成這樣:
[root@localhost ~]# visudo
learnpython ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4).通過別名設定visudo
查看sudoers這個檔案的時候,你會看見User_Alias,Host_Alias和Cmnd_Alias這些東西,他們都是一些別名,User_Alias表示具有sudo權限的用戶串列,就是第一列參數,Host_Alias表示主機的串列,就是第二列參數,Cmnd_Alias表示同意運行命令的串列,就是第四列參數,還有個Runas_Alias,我初始的sudoers里是沒有的,這個表示用戶以什么身份登錄,也就是第三列參數,
所以假設有幾個password管理員的話就能夠加上例如以下代碼:
[root@localhost ~]# visudo
User_Alias PWMNG = manager1, manager2, manager3
Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
PWMNG ALL=(root) PWCMD
5).sudo搭配su
從上面來看,我們都僅僅是切換到別的用戶然后運行命令,接著就切回到我們自己的用戶了,假設我們要像su那樣直接切換到root,然后干自己想干的,這個時候,就要將命令改動成/bin/su -,例如以下:
[root@localhost ~]# visudo
User_Alias ADMINS = user1, user2, user3
ADMINS ALL=(root) /bin/su -
當然這個是須要謹慎了,由于這樣用戶user1,user2,user3等就直接切換到root了,切換后他們就是老大了,
有沒有發現,當我們連續使用sudo的時候,在一定時間內是不用再次輸入我們的password,這個事實上是系統自己設定的,在五分鐘之內運行sudo僅僅須要輸入一次password就能夠了,
3.總結
? 了解完su和sudo,是不是發現sudo有太多的優點了,su方式切換是須要輸入目標用戶的password,而sudo僅僅須要輸入自己的password,所以sudo能夠保護目標用戶的password不外流的,當幫root管理系統的時候,su是直接將root全部權利交給用戶,而sudo能夠更好分工,僅僅要配置好/etc/sudoers,這樣sudo能夠保護系統更安全,并且分工明白,有條不紊,
站在巨人的肩膀上摘蘋果:
- https://www.cnblogs.com/slgkaifa/p/6852884.html
- https://www.cnblogs.com/torchstar/p/10326255.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/137081.html
標籤:Linux