您当前的位置:首页 > 计算机 > 系统应用 > Linux

Linux 下的su与sudo命令你以为你会用了?

时间:02-27来源:作者:点击数:

1 su:切换用户

1.1 背景说明

在Linux中有多个用户,比如root、master、worker等,那我想从一个用户切换到另一个用户如何切换呢?比如登录master用户后,突然想去切换到worker用户执行一个命令,操作一个worker用户下的文件。这个时候切换用户有多个方法

  • 退出当前用户,然后登录到worker用户
  • 第二个就是通过su命令进行切换

1.2 命令格式

su 切换用户
# 例如从root用户切换为master用户
[root@test /]$ su master 

2 sudo:以其他用户的身份执行命令

2.1 命令出现原因

su 的确为用户切换带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作;

但通过su切换到root后,也有不安全因素;
比如系统有10个用户,而且都参与管理。
如果这10个用户都涉及到超级权限的运用,做为管理员如果想让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;

如果这10个用户都有root权限,通过root权限可以做任何事,这在一定程度上就对系统的安全造成了威协。
因此sudo产生了。

sudo可以在不切换用户的情况下以其他用户的身份执行命令。

2.2 命令参数详解

-V 显示版本编号

-h 会显示版本编号及指令的使用方式说明

-l 显示出自己(执行 sudo 的使用者)的权限

-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码

-k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)

-b 将要执行的指令放在背景执行

-p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称

-u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)

-s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell

-H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root )

command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令

2.3 命令使用

问:如何使用命令呢?

答:那就要有以下2步:

  • 配置文件
  • 授权用户

详解:

说完了sudo命令的作用,那如果我想使用sudo特殊权限命令该如何使用?

其中就要去配置一下这个文件:/etc/sudoers

[root@test ~]$ ls -al /etc/sudoers
-r--r----- 1 root root 4027 Aug 16 10:43 /etc/sudoers

如何编辑这个文件呢?(有的同学会说使用vi即可。这个也是一种方法)

以下推荐两种方式编辑配置文件

  1. (不推荐)vi /etc/sudoers 使用vi要注意,我们看到该文件是只读的,所以这里要首先授权可写才可以编辑
    [root@test ~]$ chmod u+w /etc/sudoers
    [root@test ~]$ vi /etc/sudoers
    [root@test ~]$ chmod u-w /etc/sudoers
    
  2. (推荐)visudo命令:该命令可以直接打开编辑
    [root@test ~]$ visudo
    

测试场景1:

授权命令这里以worker用户为例,对worker用户授权命令/sbin/shutdown -c

  1. 未授权之前,在worker用户下执行命令:
[worker@linux1 ~]$ shutdown -c
Failed to talk to shutdownd, shutdown hasn't been cancelled: Permission denied
  1. 使用visudo(root用户下)编辑软件授权:添加如下两行
    授权用户/组 主机名=(允许转换至的用户) NOPASSWD:命令动作
    master ALL=(ALL) NOPASSWD:ALL
## Allows members of the users group to mount and unmount the
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
#授权用户/组    主机名=(允许转换至的用户)     NOPASSWD:命令动作
master    ALL=(ALL)       NOPASSWD:ALL
worker    ALL=(master)    /sbin/shutdown -c,/bin/sudo
# 不需要密码
# worker    ALL=(ALL)     NOPASSWD:/sbin/shutdown -c
  1. 授权后:当执行命令时,可以看到会提示让输入密码

解释下为什么会让输入密码:这里的密码是输入sudo命令的密码,而我们给worker的权限是 /sbin/shutdown -c 和/bin/sudo命令,而且这两个命令都需要输入密码才可以使用,因为没有配置NOPASSWD:/bin/sudo。

  • 因为sudo是worker的命令(worker ALL=(master) /sbin/shutdown -c,/bin/sudo)这个命令没有授权不输入密码(NOPASSWD),所以这里需要输入密码。
  • 而shutdown -c 是master执行的,它没有要求输入密码,所以这里会直接执行不用输入密码
# sudo使用-u 以master用户身份执行shutdown -c
[worker@linux1 ~]$ sudo -u master sudo shutdown -c
Password: 
[worker@linux1 ~]$ 
Broadcast message from root@bsa161 (Thu 2023-02-02 13:29:37 CST):

The system shutdown has been cancelled at Thu 2023-02-02 13:30:37 CST!

测试场景2:

说明:在worker用户下以wilson的身份执行编辑属于wilson用户的文件aaa.txt

用户:worker:/home/worker目录下没有文件

用户:wilson:/home/wilson目录下有文件aaa.txt

用户:root

  • 不授权sudo给用户worker和wilson
  • 登录worker用户,执行命令vi 编辑/home/wilson/aaa.txt文件
  • 第二步行不通的话再执行 sudo -u wilson vi /home/wilson/aaa.txt
  • 第三步无法编辑,就可以授权vi命令,两个用户都需要密码,配置如下
    wilson ALL=(ALL) ALL
    worker ALL=(wilson) /bin/vi
    

执行结果

# 目录显示
[root@linux1 ~]# ls /home/worker/
[root@linux1 ~]# ls /home/wilson/
aaa.txt  aa.txt  bbb.txt
[worker@linux1 ~]$ sudo -u wilson vi /home/wilson/aaa.txt
[sudo] worker 的密码:

2.4 配置文件格式介绍

  1. 定义别名
    比如我有好多命令有关/bin/chown, /bin/chmod,等这个时候如果写在授权哪里比较长,我们可以进行归类。所以就有别名,这个可以理解为命令组。
    例如:
    Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root(注意这里的!)
  2. 具体使用案例
# 1. 定义别名
User_Alias SYSADER=beinan,linuxsir,%beinan
User_Alias DISKADER=lanhaitun
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root(注意这里的!)
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注:定义命令别名DSKCMD,下有成员parted和fdisk 
   SYSADER  ALL= SYDCMD,DSKCMD
   DISKADER ALL= (OP) DSKCMD

# 注解:
# 第一行:定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员,用户组前面必须加%号;

# 第二行:定义用户别名 DISKADER ,成员有lanhaitun

# 第三行:定义Runas用户,也就是目标用户的别名为OP,下有成员root

# 第四行:定义SYSCMD命令别名,成员之间用,号分隔,最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码;

# 第五行:定义命令别名DSKCMD,下有成员parted和fdisk ;

# 第六行:表示授权SYSADER下的任何成员,在任何可能存在的主机名的主机下运行或禁止 SYDCMD和DSKCMD下定义的命令。
# 更为明确遥说,beinan、linuxsir和beinan用户组下的成员能以root身份运行 chown 、chmod 、adduser、passwd,但不能更改root的密码;
        也能够以root身份运行 parted和fdisk ,
        本条规则的等价规则是;
        
    beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

# 第七行:表示授权DISKADER 下的任何成员,能以OP的身份,来运行 DSKCMD ,无需密码;更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令;其等价规则是:
    lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk
# 如果我想不输入用户的密码就能转换到root并运行 SYDCMD 和 DSKCMD 下的命令,那应该把把NOPASSWD:加在哪里为好?参考下面例子;
    SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

2.5 授权用户组

  1. 命令格式,组前面需要添加%
    # %组名	ALL=(主机来源)	命令绝对路径
    %gourp 	ALL=(ALL)		/usr/bin/yum
    
  2. 测试
    wilson ALL=(ALL) /bin/ls
    # worker ALL=(wilson) /bin/ls,/bin/vi
    %worker ALL=(wilson) /bin/ls,/bin/vi
    

    用户 worker2 所属组worker2

    用户 worker 所属组 worker

    用户 wilson 所属组 wilson

    执行步骤:

    第一步:登录用户执行 sudo -u wilson vi /home/wilson/aaa.txt

    [worker2@linux1 root]$ sudo -u worker2 vi /home/worker/aaa.txt
    worker2 不在 sudoers 文件中。此事将被报告。
    

    第二步:配置用户组权限

    wilson ALL=(ALL) /bin/ls
    # worker ALL=(wilson) /bin/ls,/bin/vi
    %worker ALL=(wilson) /bin/ls,/bin/vi
    

    第三步:修改worker2所属组为worker

    [root@linux1 ~]# usermod -g worker worker2
    

    第四步:执行命令

    [worker2@linux1 root]$ sudo -u wilson vi /home/worker/aaa.txt
    
    我们信任您已经从系统管理员那里了解了日常注意事项。
    总结起来无外乎这三点:
    
        #1) 尊重别人的隐私。
        #2) 输入前要先考虑(后果和风险)。
        #3) 权力越大,责任越大。
    
    [sudo] worker2 的密码:
    
方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门