您好,登錄后才能下訂單哦!
今天小編給大家分享一下Linux命令su和sudo的區(qū)別是什么的相關(guān)知識(shí)點(diǎn),內(nèi)容詳細(xì),邏輯清晰,相信大部分人都還太了解這方面的知識(shí),所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。
Linux中新建用戶的命令是 useradd
,一般系統(tǒng)中這個(gè)命令對(duì)應(yīng)的路徑都在 PATH
環(huán)境變量里,如果直接輸入 useradd
不管用的話,就用絕對(duì)路徑名的方式: /usr/sbin/useradd
。
useradd
新建用戶命令只有 root 用戶才能執(zhí)行,先從普通用戶ubuntu切換到root用戶(如何切換后文會(huì)介紹):
ubuntu@VM-0-14-ubuntu:~$ su - Password: # 輸入 root 用戶登錄密碼 root@VM-0-14-ubuntu:~# useradd -m test_user # 帶上 -m 參數(shù) root@VM-0-14-ubuntu:~# ls /home test_user ubuntu # 可以看到 /home 目錄下面有兩個(gè)用戶了
因?yàn)檫€沒有給新建的用戶 test_user
設(shè)置登錄密碼,這就導(dǎo)致無法從普通用戶ubuntu切換到test_user,所以接下來,需要用root來設(shè)置test_user的登錄密碼。需要用到 passwd
命令:
root@VM-0-14-ubuntu:~# passwd test_user Enter new UNIX password: # 輸出 test_user 的密碼 Retype new UNIX password: passwd: password updated successfully root@VM-0-14-ubuntu:~#
接著輸入 exit
退出root用戶到普通用戶ubuntu:
root@VM-0-14-ubuntu:~# exit logout ubuntu@VM-0-14-ubuntu:~$
可以看到,命令提示符前面已經(jīng)由 root
變成 ubuntu
,說明現(xiàn)在的身份是 ubuntu
用戶。
首先需要解釋下 su
代表什么意思。
之前一直以為 su
是 super user
,查閱資料之后才知道原來表示 switch user
。
知道 su
是由什么縮寫來的之后,那么它提供的功能就顯而易見了,就是 切換用戶 。
-
參數(shù)su
的一般使用方法是:
su <user_name>
或者
su - <user_name>
兩種方法只差了一個(gè)字符 -
,會(huì)有比較大的差異:
如果加入了 -
參數(shù),那么是一種 login-shell
的方式,意思是說切換到另一個(gè)用戶 <user_name>
之后,當(dāng)前的shell會(huì)加載 <user_name>
對(duì)應(yīng)的環(huán)境變量和各種設(shè)置;
如果沒有加入 -
參數(shù),那么是一種 non-login-shell
的方式,意思是說現(xiàn)在切換到了 <user_name>
,但是當(dāng)前的shell還是加載切換之前的那個(gè)用戶的環(huán)境變量以及各種設(shè)置。
光解釋會(huì)比較抽象,我們看一個(gè)例子就比較容易理解了。
首先從ubuntu用戶以 non-login-shell
的方式切換到root用戶,比較兩種用戶狀態(tài)下環(huán)境變量中 PWD
的值( su
命令不跟任何 <user_name>
,默認(rèn)切換到root用戶):
ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu USER=ubuntu PWD=/home/ubuntu # 是 /home/ubuntu HOME=/home/ubuntu # 省略...... ubuntu@VM-0-14-ubuntu:~$ su # non-login-shell 方式 Password: # 輸入 root 用戶登錄密碼 root@VM-0-14-ubuntu:/home/ubuntu# env | grep ubuntu PWD=/home/ubuntu # 可以發(fā)現(xiàn)還是 /home/ubuntu root@VM-0-14-ubuntu:/home/ubuntu#
的確是切換到root用戶了,但是shell環(huán)境中的變量并沒有改變,還是用之前ubuntu用戶的環(huán)境變量。
接著從ubuntu用戶以 login-shell
的方式切換到root用戶,同樣比較兩種用戶轉(zhuǎn)臺(tái)下環(huán)境變量中 PWD
的值:
ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu USER=ubuntu PWD=/home/ubuntu # 是 /home/ubuntu HOME=/home/ubuntu # 省略....... ubuntu@VM-0-14-ubuntu:~$ su - # 是 login-shell 方式 Password: root@VM-0-14-ubuntu:~# env | grep root USER=root PWD=/root # 已經(jīng)變成 /root 了 HOME=/root MAIL=/var/mail/root LOGNAME=root root@VM-0-14-ubuntu:~#
可以看到用 login-shell
的方式切換用戶的話,shell 中的環(huán)境變量也跟著改變了。
總結(jié):具體使用哪種方式切換用戶看個(gè)人需求:
non-login-shell login-shell
前面已經(jīng)介紹了,如果 su
命令后面不跟任何 <user_name>,那么默認(rèn)是切換到 root 用戶:
ubuntu@VM-0-14-ubuntu:~$ su - Password: # root 用戶的密碼 root@VM-0-14-ubuntu:/home/ubuntu#
因?yàn)樵?nbsp;1. 準(zhǔn)備工作
部分已經(jīng)新建了一個(gè)test_user用戶,并且我們也知道test_user用戶的登錄密碼(root 用戶設(shè)置的),就能從ubuntu用戶切換到test_user用戶:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: # test_user 用戶的密碼 $
-c
參數(shù)前面的方法中,都是先切換到另一個(gè)用戶(root 或者 test_user),在哪個(gè)用戶的狀態(tài)下執(zhí)行命令,最后輸入 exit
返回當(dāng)前ubuntu用戶。
還有一種方式是:不需要先切換用戶再執(zhí)行命令,可以直接在當(dāng)前用戶下,以另一個(gè)用戶的方式執(zhí)行命令,執(zhí)行結(jié)束后就返回當(dāng)前用戶。這就得用到 -c
參數(shù)。
具體使用方法是:
su - -c "指令串" # 以 root 的方式執(zhí)行 "指令串"
看個(gè)例子:
ubuntu@VM-0-14-ubuntu:~$ cat /etc/shadow cat: /etc/shadow: Permission denied # ubuntu 用戶不能直接查看 /etc/shadow 文件內(nèi)容 ubuntu@VM-0-14-ubuntu:~$ su - -c "tail -n 4 /etc/shadow" Password: # 輸入 root 用戶密碼 ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/:18352:0:99999:7::: ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh7zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: ubuntu@VM-0-14-ubuntu:~$ # 執(zhí)行完馬上返回 ubuntu 用戶而不是 root 用戶
這種執(zhí)行方式和后面要介紹的 sudo
很像,都是臨時(shí)申請一下root用戶的權(quán)限。但還是有差異,接著往后看。
首先還是解釋下 sudo
命令是什么意思。
sudo
的英文全稱是 super user do
,即以超級(jí)用戶(root 用戶)的方式執(zhí)行命令。這里的 sudo
和之前 su
表示的 switch user
是不同的,這點(diǎn)需要注意,很容易搞混。
先介紹 sudo
命令能做什么事情,然后說明為何能做到這些,以及如何做到這些。
在 Linux 中經(jīng)常會(huì)碰到 Permission denied
這種情況,比如以 ubuntu 用戶的身份查看 /etc/shadow
的內(nèi)容。因?yàn)檫@個(gè)文件的內(nèi)容是只有root用戶能查看的。
那如果想要查看怎么辦呢?這時(shí)候就可以使用 sudo
:
ubuntu@VM-0-14-ubuntu:~$ tail -n 3 /etc/shadow tail: cannot open '/etc/shadow' for reading: Permission denied # 沒有權(quán)限 ubuntu@VM-0-14-ubuntu:~$ sudo !! # 跟兩個(gè)驚嘆號(hào) sudo tail -n 3 /etc/shadow ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh7zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: ubuntu@VM-0-14-ubuntu:~$
實(shí)例中,我們使用了 sudo !!
這個(gè)小技巧,表示重復(fù)上面輸入的命令,只不過在命令最前面加上 sudo
。
因?yàn)槲乙呀?jīng)設(shè)置了 sudo
命令不需要輸入密碼,所以這里 sudo !!
就能直接輸出內(nèi)容。如果沒有設(shè)置的話,需要輸入當(dāng)前這個(gè)用戶的密碼,例如本例中,就應(yīng)該輸入ubuntu用戶的登錄密碼。
兩次相鄰的 sudo
操作,如果間隔在 5min
之內(nèi),第二次輸入 sudo
不需要重新輸入密碼;如果超過 5min
,那么再輸入 sudo
時(shí),又需要輸入密碼。所以一個(gè)比較省事的方法是設(shè)置 sudo
操作不需要密碼。后面介紹如何設(shè)置。
sudo
除了以root用戶的權(quán)限執(zhí)行命令外,還有其它幾個(gè)用法,這里做簡單介紹。
切換到 root 用戶:
sudo su -
這種方式也能以 login-shell
的方式切換到 root 用戶,但是它和 su -
方法是由區(qū)別的:
sudo su - su -
還有一個(gè)命令:
sudo -i
這個(gè)命令和 sudo su -
效果一致,也是切換到 root 用戶,也是需要提供當(dāng)前用戶(ubuntu 用戶)的登錄密碼。
現(xiàn)在切換到 test_user 用戶,嘗試顯示 /etc/shadow
文件的內(nèi)容:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: # test_user 的密碼 $ sudo cat /etc/shadow [sudo] password for test_user: # test_user 的密碼 test_user is not in the sudoers file. This incident will be reported. $
會(huì)看到倒數(shù)第二行中的錯(cuò)誤提示信息,無法查看 /etc/shadow
的內(nèi)容,這是為什么?為什么ubuntu可以使用 sudo
但是test_user不行呢?
這就涉及到 sudo
的工作原理了。
一個(gè)用戶能否使用 sudo
命令,取決于 /etc/sudoers
文件的設(shè)置。
從 3.1 節(jié)中已經(jīng)看到,ubuntu用戶可以正常使用 sudo
,但是test_user用戶卻無法使用,這是因?yàn)?nbsp;/etc/sudoers
文件里沒有配置 test_user。
/etc/sudoers
也是一個(gè)文本文件,但是因其有特定的語法,不要直接用 vim
或者 vi
來編輯它,需要用 visudo
這個(gè)命令。輸入這個(gè)命令之后就能直接編輯 /etc/sudoers
這個(gè)文件了。
需要說明的是,只有 root 用戶有權(quán)限使用 visudo
命令。
先來看下輸入 visudo
命令后顯示的內(nèi)容。
輸入(root 用戶):
root@VM-0-14-ubuntu:~# visudo
輸出:
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
ubuntu ALL=(ALL:ALL) NOPASSWD: ALL
解釋下每一行的格式:
第一個(gè)表示用戶名,如 root
、 ubuntu
等;
接下來等號(hào)左邊的 ALL
表示允許從任何主機(jī)登錄當(dāng)前的用戶賬戶;
等號(hào)右邊的 ALL
表示:這一行行首對(duì)一個(gè)的用戶可以切換到系統(tǒng)中任何一個(gè)其它用戶;
行尾的 ALL
表示:當(dāng)前行首的用戶,能以 root 用戶的身份下達(dá)什么命令, ALL
表示可以下達(dá)任何命令。
還注意到 ubuntu
對(duì)應(yīng)的那一行有個(gè) NOPASSWD
關(guān)鍵字,這就是表明 ubuntu 這個(gè)用戶在請求 sudo
時(shí)不需要輸入密碼,到這里就解釋了前面的問題。
同時(shí)要注意到,這個(gè)文件里并沒有 test_user
對(duì)應(yīng)的行,這也就解釋了為什么test_user無法使用 sudo
命令。
接下來,嘗試將test_user添加到 /etc/sudoers
文件中,使test_user也能使用 sudo
命令。在最后一行添加:
test_user ALL=(ALL:ALL) ALL # test_user 使用 sudo 需要提供 test_user 的密碼
接下來再在 test_user 賬戶下執(zhí)行 sudo
:
ubuntu@VM-0-14-ubuntu:~$ su - test_user Password: $ tail -n 3 /etc/shadow tail: cannot open '/etc/shadow' for reading: Permission denied $ sudo tail -n 3 /etc/shadow # 加上 sudo ntp:*:17752:0:99999:7::: mysql:!:18376:0:99999:7::: test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh7zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7::: $
可以看到,現(xiàn)在已經(jīng)可以使用 sudo
了。
我們已經(jīng)看到了,如果一個(gè)用戶在 /etc/sudoers
文件中,那么它就具有 sudo
權(quán)限,就能通過 sudo su -
或者 sudo -i
等命令切換到root用戶了,那這時(shí)這個(gè)用戶就變成root用戶了,那這不對(duì)系統(tǒng)造成很大的威脅嗎?
實(shí)際上的確是這樣的。所以如果在編輯 /etc/sudoers
文件賦予某種用戶 sudo
權(quán)限時(shí),必須要確定該用戶是 可信任 的,不會(huì)對(duì)系統(tǒng)造成惡意破壞,否則將所有root權(quán)限都賦予該用戶將會(huì)有非常大的危險(xiǎn)。
當(dāng)然,root用戶也可以編輯 /etc/sudoers
使用戶只具備一部分權(quán)限,即只能執(zhí)行一小部分命令。有興趣的讀者可以參考 Reference 部分第二條,這篇文章不再贅述。
二者的差異對(duì)比:
su - sudo su -
兩種方式的差異也顯而易見:如果我們的Linux系統(tǒng)有很多用戶需要使用的話,前者要求所有用戶都知道root用戶的密碼,這顯然是非常危險(xiǎn)的;后者是不需要暴露root賬戶密碼的,用戶只需要輸入自己的賬戶密碼就可以,而且哪些用戶可以切換到root,這完全是受root控制的(root通過設(shè)置 /etc/sudoers
實(shí)現(xiàn)的),這樣系統(tǒng)就安全很多了。
以上就是“Linux命令su和sudo的區(qū)別是什么”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會(huì)為大家更新不同的知識(shí),如果還想學(xué)習(xí)更多的知識(shí),請關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。