目录
- 1. 准备工作
- 2.su命令介绍及主要用法
- 2.1-参数
- 2.2 切换到指定用户
- 2.3-c参数
- 3.sudo命令介绍及主要用法
- 3.1 主要用法
- 3.2sudo工作原理
- 3.3 思考
- 4. 二者的差异对比
之前一直对su
和sudo
这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下。
1. 准备工作
因为本篇博客中涉及到用户切换,所以需要提前准备好几个测试用户,方便后续切换。
linux中新建用户的命令是useradd
,一般系统中这个命令对应的路径都在PATH
环境变量里,如果直接输入useradd
不管用的话,就用绝对路径名的方式:/usr/sbin/useradd
。
useradd
新建用户命令只有 root 用户才能执行,先从普通用户Ubuntu切换到root用户(如何切换后文会介绍):
ubuntu@VM-0-14-ubuntu:~$ su - Password: # 输入 root 用户登录密码 root@VM-0-14-ubuntu:~# useradd -m test_user # 带上 -m 参数 root@VM-0-14-ubuntu:~# ls /home test_user ubuntu # 可以看到 /home 目录下面有两个用户了
因为还没有给新建的用户test_user
设置登录密码,这就导致无法从普通用户ubuntu切换到test_user,所以接下来,需要用root来设置test_user的登录密码。需要用到passwd
命令:
root@VM-0-14-ubuntu:~# passwd test_user Enter new Unix password: # 输出 test_user 的密码 Retype new UNIX password: passwd: password updated successfully root@VM-0-14-ubuntu:~#
接着输入exit
退出root用户到普通用户ubuntu:
root@VM-0-14-ubuntu:~# exit logout ubuntu@VM-0-14-ubuntu:~$
可以看到,命令提示符前面已经由root
变成ubuntu
,说明现在的身份是ubuntu
用户。
2.su命令介绍及主要用法
首先需要解释下su
代表什么意思。
之前一直以为su
是super user
,查阅资料之后才知道原来表示switch user
。
知道su
是由什么缩写来的之后,那么它提供的功能就显而易见了,就是切换用户。
2.1-
参数
su
的一般使用方法是:
su <user_name>
或者
su - <user_name>
两种方法只差了一个字符-
,会有比较大的差异:
- 如果加入了
-
参数,那么是一种login-shell
的方式,意思是说切换到另一个用户<user_name>
之后,当前的shell会加载<user_name>
对应的环境变量和各种设置; - 如果没有加入
-
参数,那么是一种non-login-shell
的方式,意思是说现在切换到了<user_name>
,但是当前的shell还是加载切换之前的那个用户的环境变量以及各种设置。
光解释会比较抽象,我们看一个例子就比较容易理解了。
首先从ubuntu用户以non-login-shjavascriptell
的方式切换到root用户,比较两种用户状态下环境变量中PWD
的值(su
命令不跟任何<user_name>
,默认切换到root用户):
ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu USER=ubuntu PWD=/home/ubuntu # 是 /home/ubuntu HOME=/home/ubuntu # 省略...... ubuntu@VM-0-14-ubuntu:~$ su # non-login-shell 方式 Password: # 输入 root 用户登录密码 root@VM-0-14-ubuntu:/home/ubuntu# env | grep ubuntu PWD=/home/ubuntu # 可以发现还是 /home/ubuntu root@VM-0-14-ubuntu:/home/ubuntu#
的确是切换到root用户了,但是shell环境中的变量并没有改变,还是用之前ubuntu用户的环境变量。
接着从ubuntu用户以login-shell
的方式切换到root用户,同样比较两种用户转台下环境变量中PWD
的值:
ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu USER=ubuntu PWD=/home/ubuntu # 是 /home/ubuntu HOME=/home/ubuntu # 省略....... ubuntu@VM-0-14-ubuntu:~$ su - # 是 login-shell 方式 Password: root@VM-0-14-ubuntu:~# env | grep root USER=root PWD=/root # 已经变成 /root 了 HOME=/root MAIL=/var/mail/root LOGNAME=root root@VM-0-14-ubuntu:~#
可以看到用login-shell
的方式切换用户的话,shell 中的环境变量也跟着改变了。
总结:具体使用哪种方式切换用户看个人需求:
non-login-shell login-shell
2.2 切换到指定用户
前面已经介绍了,如果su
命令后面不跟任何 <user_name>,那么默认是切换到 root 用户:
ubuntu@VM-0-14-ubuntu:~$ su - Password: # root 用户的密码 root@VM-0-14-ubuntu:/home/ubuntu#
因为在1. 准备工作
部分已经新建了一个test_user用户,并且我们也知道test_user用户的登录密码(root 用户设置的),就能从ubuntu用户切换到test_user用户:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: # test_user 用户的密码 $
2.3-c
参数
前面的方法中,都是先切换到另一个用户(root 或者 test_user),在哪个用户的状态下执行命令,最后输入exit
返回当前ubuntu用户。
还有一种方式是:不需要先切换用户再执行命令,可以直接在当前用户下,以另一个用户的方式执行命令,执行结束后就返回当前用户。这就得用到-c
参数。
具体使用方法是:
su - -c "指令串" # 以 root 的方式执行 "指令串"
看个例子:
ubuntu@VM-0-14-ubuntu:~$ cat /etc/shadow cat: /etc/shadow: Permission denied # ubuntu 用户不能直接查看 /etc/shadow 文件内容 ubuntu@VM-0-14-ubuntu:~$ su - -c "tail -n 4 /etc/shadow" Password: # 输入 root 用户密码 ubuntu:$1$fZKcWEDI$uwZ64uFvvbwpHTbCSgim0/:18352:0:99999:7::: ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: ubuntu@VM-0-14-ubuntu:~$ # 执行完马上返回 ubuntu 用户而不是 root 用户
这种执行方式和后面要介绍的sudo
很像,都是临时申请一下root用户的权限。但还是有差异,接着往后看。
3.sudo命令介绍及主要用法
首先还是解释下sudo
命令是什么意思。
sudo
的英文全称是super user do
,即以超级用户(root 用户)的方式执行命令。这里的sudo
和之前su
表示的switch user
是不同的,这点需要注意,很容易搞混。
先介绍sudo
命令能做什么事情,然后说明为何能做到这些,以及如何做到这些。
3.1 主要用法
在 Linux 中经常会碰到Permission denied
这种情况,比如以 ubuntu 用户的身份查看/etc/shadow
的内容。因为这个文件的内容是只有root用户能查看的。
那如果想要查看怎么办呢?这时候就可以使用sudo
:
ubuntu@VM-0-14-ubuntu:~$ tail -n 3 /etc/shadow tail: cannot open '/etc/shadow' for reading: Permission denied # 没有权限 ubuntu@VM-0-14-ubuntu:~$ sudo !! # 跟两个惊叹号 sudo tail -n 3 /etc/shadow ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: ubuntu@VM-0-14-ubuntu:~$
实例中,我们使用了sudo !!
这个小技巧,表示重复上面输入的命令,只不过在命令最前面加上sudo
。
因为我已经设置了sudo
命令不需要输入密码,所以这里sudo !!
就能直接输出内容。如果没有设置的话,需要输入当前这个用户的密码,例如本例中,就应该输入ubuntu用户的登录密码。
两次相邻的sudo
操作,如果间隔在5min
之内,第二次输入sudo
不需要重新输入密码;如果超过5min
,那么再输入sudo
时,又需要输入密码。所以一个比较省事的方法是设置sudo
操作不需要密码。后面介绍如何设置。
sudo
除了以root用户的权限执行命令外,还有其它几个用法,这里做简单介绍。
切换到 root 用户:
sudo su -
这种方式也能以login-shell
的方式切换到 root 用户,但是它和suhttp://www.cppcns.com -
方法是由区别的:
sudo su - su -
还有一个命令:
sudo -i
这个命令和sudo su -
效果一致,也是切换到 root 用户,也是需要提供当前用户(ubuntu 用户)的登录密码。
现在切换到 test_user 用户,尝试显示/etc/shadow
文件的内容:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: # test_user 的密码 $ sudo cat /etc/shadow [sudo] password for test_user: # test_user 的密码 test_user is not in the sudoers file. This incident will be reported. $
会看到倒数第二行中的错误提示信息,无法查看/etc/shadow
的内容,这是为什么?为什么ubuntu可以使用sudo
但是test_user不行呢?
这就涉及到sudo
的工作原理了。
3.2sudo工作原理
一个用户能否使用sudo
命令,取决于/etc/sudoers
文件的设置。
从 3.1 节中已经看到,ubuntu用户可以正常使用sudo
,但是test_user用户却无法使用,这是因为/etc/sudoers
文件里没有配置 test_user。
/etc/sudoers
也是一个文本文件,但是因其有特定的语法,不要直接用vim
或者vi
来编辑它,需要用visudo
这个命令。输入这个命令之后就能直接编辑/etc/sudoers
这个文件了。
需要说明的是,只有 root 用户有权限使用visudo
命令。
先来看下输入visudo
命令后显示的内容。
输入(root 用户):
root@VM-0-14-ubuntu:~# visudo
输出:
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to eFpSTLCSmlOxecute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
ubuntu ALL=(ALL:ALL) NOPASSWD: ALL
解释下每一行的格式:
- 第一个表示用户名,如
root
、ubuntu
等; - 接下来等号左边的
ALL
表示允许从任何主机登录当前的用户账户; - 等号右边的
ALL
表示:这一行行首对一个的用户可以切换到系统中任何一个其它用户; - 行尾的
ALL
表示:当前行首的用户,能以 root 用户的身份下达什么命令,ALL
表示可以下达任何命令。
还注意到ubuntu
对应的那一行有个NOPASSWD
关键字,这就是表明 ubuntu 这个用户在请求sudo
时不需要输入密码,到这里就解释了前面的问题。
同时要注意到,这个文件里并没有test_user
对应的行,这也就解释了为什么test_user无法使用sudo
命令。
接下来,尝试将test_user添加到/etc/sudoers
文件中,使test_user也能使用sudo
命令。在最后一行添加:
test_user ALL=(ALL:ALL) ALL # test_user 使用 sudo 需要提供 test_user 的密码
接下来再在 test_user 账户下执行sudo
:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: $ tail -n 3 /etc/shadow tail: cannot open '/etc/shadow' for reading: Permission denied $ sudo tail -n 3 /etc/shadow # 加上 sudo ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: $
可以看到,现在已经可以使用sudo
了。
3.3 思考
我们已经看到了,如果一个用户在/etc/sudoers
文件中,那么它就具有sudo
权限,就能通过sudo su -
或者sudo -i
等命令切换到root用户了,那这时这个用户就变成root用户了,那这不对系统造成很大的威胁吗?
实际上的确是这样的。所以如果在编辑/etc/sudoers
文件赋予某种用户sudo
权限时,必须要确定该用户是可信任的,不会对系统造成恶意破坏,否则将所有root权限都赋予该用户将会有非常大的危险。
当然,root用户也可以编辑/e恰卡编程网tc/sudoers
使用户只具备一部分权限,即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条,这篇文章不再赘述。
4. 二者的差异对比
二者的差异对比:
su - sudo su -
两种方式的差异也显而易见:如果我们的Linux系统有很多用户需要使用的话,前者要求所有用户都知道root用户的密码,这显然是非常危险的;后者是不需要暴露root账户密码的,用户只需要输入自己的账户密码就可以,而且哪些用户可以切换到root,这完全是受root控制的(root通过设置/etc/sudoers
实现的),这样系统就安全很多了。
到此这篇关于面试必问Linux命令su和sudo的区别解析的文章就介绍到这了,更多相关Linux命令su和sudo内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关文章
本站已关闭游客评论,请登录或者注册后再评论吧~