面试必问Linux 命令su和sudo的区别解析

目录

• 1. 准备工作
• 2.su命令介绍及主要用法
• 2.1-参数
• 2.2 切换到指定用户
• 2.3-c参数
• 3.sudo命令介绍及主要用法
• 3.1 主要用法
• 3.2sudo工作原理
• 3.3 思考
• 4. 二者的差异对比

之前一直对su和sudo这两个命令犯迷糊，最近专门搜了这方面的资料，总算是把两者的关系以及用法搞清楚了，这篇文章来系统总结一下。

1. 准备工作

因为本篇博客中涉及到用户切换，所以需要提前准备好几个测试用户，方便后续切换。

linux中新建用户的命令是useradd，一般系统中这个命令对应的路径都在PATH环境变量里，如果直接输入useradd不管用的话，就用绝对路径名的方式：/usr/sbin/useradd。

useradd新建用户命令只有 root 用户才能执行，先从普通用户Ubuntu切换到root用户（如何切换后文会介绍）：

ubuntu@VM-0-14-ubuntu:~$ su -  
Password: # 输入 root 用户登录密码  
root@VM-0-14-ubuntu:~# useradd -m test_user # 带上 -m 参数  
root@VM-0-14-ubuntu:~# ls /home  
test_user  ubuntu  # 可以看到 /home 目录下面有两个用户了

因为还没有给新建的用户test_user设置登录密码，这就导致无法从普通用户ubuntu切换到test_user，所以接下来，需要用root来设置test_user的登录密码。需要用到passwd命令：

root@VM-0-14-ubuntu:~# passwd test_user  
Enter new Unix password:  # 输出 test_user 的密码  
Retype new UNIX password:         
passwd: password updated successfully  
root@VM-0-14-ubuntu:~#

接着输入exit退出root用户到普通用户ubuntu：

root@VM-0-14-ubuntu:~# exit  
logout  
ubuntu@VM-0-14-ubuntu:~$

可以看到，命令提示符前面已经由root变成ubuntu，说明现在的身份是ubuntu用户。

2.su命令介绍及主要用法

首先需要解释下su代表什么意思。

之前一直以为su是super user，查阅资料之后才知道原来表示switch user。

知道su是由什么缩写来的之后，那么它提供的功能就显而易见了，就是切换用户。

2.1-参数

su的一般使用方法是：

su  <user_name>

或者

su - <user_name>

两种方法只差了一个字符-，会有比较大的差异：

• 如果加入了-参数，那么是一种login-shell的方式，意思是说切换到另一个用户<user_name>之后，当前的shell会加载<user_name>对应的环境变量和各种设置；
• 如果没有加入-参数，那么是一种non-login-shell的方式，意思是说现在切换到了<user_name>，但是当前的shell还是加载切换之前的那个用户的环境变量以及各种设置。

光解释会比较抽象，我们看一个例子就比较容易理解了。

首先从ubuntu用户以non-login-shjavascriptell的方式切换到root用户，比较两种用户状态下环境变量中PWD的值（su命令不跟任何<user_name>，默认切换到root用户）：

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu  
USER=ubuntu  
PWD=/home/ubuntu    # 是 /home/ubuntu  
HOME=/home/ubuntu  
# 省略......  
ubuntu@VM-0-14-ubuntu:~$ su    # non-login-shell 方式  
Password:     # 输入 root 用户登录密码  
root@VM-0-14-ubuntu:/home/ubuntu# env | grep ubuntu  
PWD=/home/ubuntu  # 可以发现还是 /home/ubuntu  
root@VM-0-14-ubuntu:/home/ubuntu#

的确是切换到root用户了，但是shell环境中的变量并没有改变，还是用之前ubuntu用户的环境变量。

接着从ubuntu用户以login-shell的方式切换到root用户，同样比较两种用户转台下环境变量中PWD的值：

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu  
USER=ubuntu  
PWD=/home/ubuntu  # 是 /home/ubuntu  
HOME=/home/ubuntu  
# 省略.......  
ubuntu@VM-0-14-ubuntu:~$ su -   # 是 login-shell 方式  
Password:  
root@VM-0-14-ubuntu:~# env | grep root  
USER=root  
PWD=/root   # 已经变成 /root 了  
HOME=/root  
MAIL=/var/mail/root  
LOGNAME=root  
root@VM-0-14-ubuntu:~#

可以看到用login-shell的方式切换用户的话，shell 中的环境变量也跟着改变了。

总结：具体使用哪种方式切换用户看个人需求：

non-login-shell
login-shell

2.2 切换到指定用户

前面已经介绍了，如果su命令后面不跟任何 <user_name>，那么默认是切换到 root 用户：

ubuntu@VM-0-14-ubuntu:~$ su -  
Password:  # root 用户的密码  
root@VM-0-14-ubuntu:/home/ubuntu#

因为在1. 准备工作部分已经新建了一个test_user用户，并且我们也知道test_user用户的登录密码（root 用户设置的），就能从ubuntu用户切换到test_user用户：

ubuntu@VM-0-14-ubuntu:~$ su - test_user  
Password:   # test_user 用户的密码  
$

2.3-c参数

前面的方法中，都是先切换到另一个用户（root 或者 test_user），在哪个用户的状态下执行命令，最后输入exit返回当前ubuntu用户。

还有一种方式是：不需要先切换用户再执行命令，可以直接在当前用户下，以另一个用户的方式执行命令，执行结束后就返回当前用户。这就得用到-c参数。

具体使用方法是：

su - -c "指令串"  # 以 root 的方式执行 "指令串"

看个例子：

ubuntu@VM-0-14-ubuntu:~$ cat /etc/shadow  
cat: /etc/shadow: Permission denied    # ubuntu 用户不能直接查看 /etc/shadow 文件内容  
ubuntu@VM-0-14-ubuntu:~$ su - -c "tail -n 4 /etc/shadow"  
Password:  # 输入 root 用户密码  
ubuntu:$1$fZKcWEDI$uwZ64uFvvbwpHTbCSgim0/:18352:0:99999:7:::  
ntp:*:17752:0:99999:7:::  
mysql:!:18376:0:99999:7:::  
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::  
ubuntu@VM-0-14-ubuntu:~$   # 执行完马上返回 ubuntu 用户而不是 root 用户

这种执行方式和后面要介绍的sudo很像，都是临时申请一下root用户的权限。但还是有差异，接着往后看。

3.sudo命令介绍及主要用法

首先还是解释下sudo命令是什么意思。

sudo的英文全称是super user do，即以超级用户（root 用户）的方式执行命令。这里的sudo和之前su表示的switch user是不同的，这点需要注意，很容易搞混。

先介绍sudo命令能做什么事情，然后说明为何能做到这些，以及如何做到这些。

3.1 主要用法

在 Linux 中经常会碰到Permission denied这种情况，比如以 ubuntu 用户的身份查看/etc/shadow的内容。因为这个文件的内容是只有root用户能查看的。

那如果想要查看怎么办呢？这时候就可以使用sudo:

ubuntu@VM-0-14-ubuntu:~$ tail -n 3 /etc/shadow  
tail: cannot open '/etc/shadow' for reading: Permission denied      # 没有权限  
ubuntu@VM-0-14-ubuntu:~$ sudo !!                                    # 跟两个惊叹号  
sudo tail -n 3 /etc/shadow  
ntp:*:17752:0:99999:7:::  
mysql:!:18376:0:99999:7:::  
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::  
ubuntu@VM-0-14-ubuntu:~$

实例中，我们使用了sudo !!这个小技巧，表示重复上面输入的命令，只不过在命令最前面加上sudo。

因为我已经设置了sudo命令不需要输入密码，所以这里sudo !!就能直接输出内容。如果没有设置的话，需要输入当前这个用户的密码，例如本例中，就应该输入ubuntu用户的登录密码。

两次相邻的sudo操作，如果间隔在5min之内，第二次输入sudo不需要重新输入密码；如果超过5min，那么再输入sudo时，又需要输入密码。所以一个比较省事的方法是设置sudo操作不需要密码。后面介绍如何设置。

sudo除了以root用户的权限执行命令外，还有其它几个用法，这里做简单介绍。

切换到 root 用户：

sudo su -

这种方式也能以login-shell的方式切换到 root 用户，但是它和suhttp://www.cppcns.com -方法是由区别的：

sudo su -
su -

还有一个命令：

sudo -i

这个命令和sudo su -效果一致，也是切换到 root 用户，也是需要提供当前用户（ubuntu 用户）的登录密码。

现在切换到 test_user 用户，尝试显示/etc/shadow文件的内容：

ubuntu@VM-0-14-ubuntu:~$ su - test_user  
Password:   # test_user 的密码  
$ sudo cat /etc/shadow  
[sudo] password for test_user: # test_user 的密码  
test_user is not in the sudoers file.  This incident will be reported.  
$

会看到倒数第二行中的错误提示信息，无法查看/etc/shadow的内容，这是为什么？为什么ubuntu可以使用sudo但是test_user不行呢？

这就涉及到sudo的工作原理了。

3.2sudo工作原理

一个用户能否使用sudo命令，取决于/etc/sudoers文件的设置。

从 3.1 节中已经看到，ubuntu用户可以正常使用sudo，但是test_user用户却无法使用，这是因为/etc/sudoers文件里没有配置 test_user。

/etc/sudoers也是一个文本文件，但是因其有特定的语法，不要直接用vim或者vi来编辑它，需要用visudo这个命令。输入这个命令之后就能直接编辑/etc/sudoers这个文件了。

需要说明的是，只有 root 用户有权限使用visudo命令。

先来看下输入visudo命令后显示的内容。

输入（root 用户）：

root@VM-0-14-ubuntu:~# visudo

输出：

# User privilege specification
root ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to e^FpSTLCSmlOxecute any command
%sudo ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d
ubuntu ALL=(ALL:ALL) NOPASSWD: ALL

解释下每一行的格式：

• 第一个表示用户名，如root、ubuntu等；
• 接下来等号左边的ALL表示允许从任何主机登录当前的用户账户；
• 等号右边的ALL表示：这一行行首对一个的用户可以切换到系统中任何一个其它用户；
• 行尾的ALL表示：当前行首的用户，能以 root 用户的身份下达什么命令，ALL表示可以下达任何命令。

还注意到ubuntu对应的那一行有个NOPASSWD关键字，这就是表明 ubuntu 这个用户在请求sudo时不需要输入密码，到这里就解释了前面的问题。

同时要注意到，这个文件里并没有test_user对应的行，这也就解释了为什么test_user无法使用sudo命令。

接下来，尝试将test_user添加到/etc/sudoers文件中，使test_user也能使用sudo命令。在最后一行添加：

test_user  ALL=(ALL:ALL)  ALL   # test_user 使用 sudo 需要提供 test_user 的密码

接下来再在 test_user 账户下执行sudo：

ubuntu@VM-0-14-ubuntu:~$ su - test_user  
Password:  
$ tail -n 3 /etc/shadow  
tail: cannot open '/etc/shadow' for reading: Permission denied  
$ sudo tail -n 3 /etc/shadow                   # 加上 sudo  
ntp:*:17752:0:99999:7::: 
mysql:!:18376:0:99999:7:::  
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::  
$

可以看到，现在已经可以使用sudo了。

3.3 思考

我们已经看到了，如果一个用户在/etc/sudoers文件中，那么它就具有sudo权限，就能通过sudo su -或者sudo -i等命令切换到root用户了，那这时这个用户就变成root用户了，那这不对系统造成很大的威胁吗？

实际上的确是这样的。所以如果在编辑/etc/sudoers文件赋予某种用户sudo权限时，必须要确定该用户是可信任的，不会对系统造成恶意破坏，否则将所有root权限都赋予该用户将会有非常大的危险。

当然，root用户也可以编辑/e恰卡编程网tc/sudoers使用户只具备一部分权限，即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条，这篇文章不再赘述。

4. 二者的差异对比

二者的差异对比：

su -
sudo su -

两种方式的差异也显而易见：如果我们的Linux系统有很多用户需要使用的话，前者要求所有用户都知道root用户的密码，这显然是非常危险的；后者是不需要暴露root账户密码的，用户只需要输入自己的账户密码就可以，而且哪些用户可以切换到root，这完全是受root控制的（root通过设置/etc/sudoers实现的），这样系统就安全很多了。

到此这篇关于面试必问Linux命令su和sudo的区别解析的文章就介绍到这了,更多相关Linux命令su和sudo内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们！