有这样一种场景,当管理员通过普通用户账户登录到设备时,突然有个需求需要操作,但该普通用户账户没有这个权限。这时,管理员只能退出设备,重新使用root账户登录。然后使用完成后,重新利用普通用户账户登录。这种方式无疑是繁琐而低效的。这里我们有两种处理的方式。一种是在线切换账户,相对应的命令是su。另一种则是让普通用户临时以root的身份执行操作,相对应的命令是sudo。下面我们将学习下这两个命令的使用方式。
| 命 令 | 作 用 |
| whoami | 查看当前用户 |
| su user1 | 在切换用户的同时,不改变环境变量 |
| su - user1 | 在切换用户的同时,将环境变量都切换到该用户的环境变量 |
| su - | |
| su - -c "id" user1 | 使用user1这个账号去执行id命令 |
在执行以上命令的时候,普通用户需要切换用户的口令,而root用户可以使用su切换到任何用户下,而且不用输入密码。
测试示例:
[root@server02~]#suuser1 [user1@server02root]$whoami user1 [user1@server02root]$echo$PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin [user1@server02root]$exit exit [root@server02~]#su-user1 上一次登录:二5月3013:18:32CST2017pts/0上 [user1@server02~]$echo$PATH /usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/user1/.local/bin:/home/user1/bin [user1@server02~]$exit 登出 [root@server02~]#su--c"id"user1 uid=1000(user1)gid=1000(user1)组=1000(user1)环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
su的优缺点:
su的确为管理带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他就能切换到root来完成所有的系统管理工作。但通过su切换到root后,也有不安全因素。比如系统有10个用户,而且都参与管理。如果这10个用户都涉及到超级权限的运用,做为管理员如果想让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;如果这10个用户都有root权限,通过root权限可以做任何事,这在一定程度上就对系统的安全造成了威协;想想Windows吧,简直就是恶梦;“没有不安全的系统,只有不安全的人”,我们绝对不能保证这 10个用户都能按正常操作流程来管理系统,其中任何一人对系统操作的重大失误,都可能导致系统崩溃或数据损失;所以su 工具在多人参与的系统管理中,并不是最好的选择,su只适用于一两个人参与管理的系统,毕竟su并不能让普通用户受限的使用。超级用户root密码应该掌握在少数用户手中。
2、sudo可以让普通用户临时以root的身份执行一条命令,该用户只需要知道自己的密码
通过visudo命令打开sudo的配置文件(/etc/sudoers),可以进行一些关于sudo授权的配置。如定义host、user以及命令的别名等。
##TheCOMMANDSsectionmayhaveotheroptionsaddedtoit. ## ##Allowroottorunanycommandsanywhere rootALL=(ALL)ALL user1ALL=(root)NOPASSWD:/bin/ls,/bin/cat @新增的上行中,user1表示用户,ALL表示所有来源IP,root表示root的权限,NOPASSWD表示不需要口令即可执行,/bin/ls和/bin/cat表示可执行的命令。 ##Allowsmembersofthe'sys'grouptorunnetworking,software,##servicemanagementappsandmore. #%sysALL=NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES,LOCATE,DRIVERS ##Allowspeopleingroupwheeltorunallcommands %wheelALL=(ALL)ALL @可以将相同权限的用户打包成组统一做策略。 ##Samethingwithoutapassword #%wheelALL=(ALL)NOPASSWD:ALL
测试示例:
[user2@server02root]$sudols/root/ WetrustyouhavereceivedtheusuallecturefromthelocalSystem Administrator.Itusuallyboilsdowntothesethreethings: #1)Respecttheprivacyofothers. #2)Thinkbeforeyoutype. #3)Withgreatpowercomesgreatresponsibility. [sudo]passwordforuser2: user2不在sudoers文件中。此事将被报告。 [user1@server02root]$exit exit [root@server02~]#suuser1 [user1@server02root]$sudo-l@查看本账户支持的sudo命令 匹配此主机上user1的默认条目: !visiblepw,always_set_home,env_reset,env_keep="COLORSDISPLAYHOSTNAMEHISTSIZEKDEDIR LS_COLORS",env_keep+="MAILPS1PS2QTDIRUSERNAMELANGLC_ADDRESSLC_CTYPE",env_keep+="LC_COLLATELC_IDENTIFICATIONLC_MEASUREMENTLC_MESSAGES",env_keep+="LC_MONETARY LC_NAMELC_NUMERICLC_PAPERLC_TELEPHONE",env_keep+="LC_TIMELC_ALLLANGUAGELINGUAS _XKB_CHARSETXAUTHORITY",secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin 用户user1可以在该主机上运行以下命令: (root)NOPASSWD:/bin/ls,(root)/bin/cat [user1@server02root]$sudols/root/ anaconda-ks.cfgtest1 test12 [user1@server02root]$
sudo 的适用条件:
由于su对切换到超级权限用户root后,权限的无限制性,所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作,这时我们就有必要用到sudo。
通过sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道root密码,所以sudo相对于权限无限制性的su来说,还是比较安全的,所以sudo也能被称为受限制的su。另外sudo是需要授权许可的,所以也被称为授权许可的su。
sudo执行命令的流程是当前用户切换到root(或其它指定切换到的用户),然后以root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权。
%user1 ALL=/usr/sbin/*,/sbin/*
如果用户组出现在/etc/sudoers 中,前面要加%号,比如%user1,中间不能有空格:
如果我们在/etc/sudoers 中加上如上一行,表示user1用户组下的所有成员,在所有可能的出现的主机名下,都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令;
取消程序某类程序的执行,要在命令动作前面加上!号;在本例中也出现了通配符的*的用法。
user1 ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk
注:把这行规则加入到/etc/sudoers中;但您得有user1这个用户组,并且user1也是这个组中的才行;本规则表示user1用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序,但fdisk 程序除外。
3、su与sudo的区别
sudo:暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。
su:切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su 账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。
sudo -i:为了频繁的执行某些只有超级用户才能执行的权限,而不用每次输入密码,可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。
其实,还有几个类似的用法:
sudo /bin/bash:这个命令也会切换到root的bash下,但不能完全拥有root的所有环境变量,比如PATH,可以拥有root用户的权限。这个命令和 sudo -s是等同的;
sudo -s:如上;
sudo su:这个命令,也是登录到了root,但是并没有切换root的环境变量,比如PATH;
sudo su -:这个命令,纯粹的切换到root环境下,可以这样理解,先是切换到了root身份,然后又以root身份执行了su - ,这个时候跟使用root登录没有什么区别。这个结果貌似跟sudo -i 的效果是一样的,但是也有不同,sudo 只是临时拥有了root的权限,而su则是使用root账号登录了linux系统。
所以,我们再来总结一下:
sudo su - 约等于sudo -i
sudo -s 完全等于sudo /bin/bash,约等于sudo su
sudo 终究被一个"临时权限的帽子"扣住,不能等价于纯粹的登录到系统里。
@引用内容来源于网络,作为附加参考资料放入本篇。
原文链接:https://www.f2er.com/centos/377178.html