linux su和sudo命令的区别

定义上的区别：

su为switch user，即切换用户的简写。su是最简单的身份切换名，用su我们能够进行不论什么用户的切换，一般都是su-username，然后输入password就OK了，可是root用su切换到其他身份的时候是不需要输入password的。

sudo是一种权限管理机制，依赖于/etc/sudoers，其定义了授权给哪个用户可以以管理员的身份能够执行什么样的管理命令。

格式上的区别：

su格式有两种：su -l USERNAME、su USERNAME。

sudo格式：sudo -u USERNAME COMMAND。

密码上的区别：

两个命令的最大区别是：sudo命令需要输入当前用户的密码，su命令需要输入root用户的密码。

日志记录上的区别：

尽管sudo命令以目标用户的身份执行命令，但是它们会使用sudoer所配置的用户名来记录是谁执行的命令。而su命令是无法直接跟踪记录用户切换到root用户之后执行了什么 *** 作。

灵活性上的区别：

sudo命令比su命令灵活很多，甚至可以限制sudo用户可以访问哪些命令。换句话来讲，用户通过sudo命令只能访问他们工作需要的命令，而su命令让用户有权限做任何事情。

 一种约束用户执行系统管理命令方面的安全机制，允许指定的用户以root身份执行指定的命令而不需要提供root密码。用过Ubuntu（Debian系）的小伙伴很有发言权。

当用户要执行比如systemctl stop httpd时，如果该用户不被允许使用systemctl stop命令，则命令无法运行，从而实现只允许指定用户（信任的小伙伴）才可运行相关系统、服务管理方面的命令；如果用户被允许使用该命令，sudo机制也会提醒用户输入其账号密码，从而存在一个缓冲的时间，可以让命令执行者脑袋清醒一下，确认无误后敲下回车。

Sudo应该是Switch User Do的简写（尚未考证），简单粗暴的翻译就是“切换用户干”，当指定sudo systemctl stop httpd命令时，事实上是以root用户的身份运行的。下面以Redha系CentOS7.6来介绍一下sudo的使用，通过visudo直接回车可看到：

图中可以看出默认有8个命令别名，每一个别名分别对应一些命令，比如PROCESS，是nice、kill、killall三个命令的别名。之所以要有别名，是因为将命令分门别类后便于后面的引用。

看懂语法，基本就可以搞定了。每个框框中注释部分说的很清楚。比如“%wheel   ALL=(LL) NOPASSWD:ALL”表示wheel这个群组中的用户可以在任何主机上执行任何命令且不需要输入密码。

用户名：ds 

群组：   testgroup

要求：只允许testgroup群组用户执行跟networking相关的命令

步骤：

1、 [endif]命令行中输入visudo回车—编辑/etc/sudoers文件

2、 [endif]去掉“Cmnd_Alias NETWORKING…“一行的的注释

3、 加入下面一行

4、 测试

可以看到ds用户执行ping是可以的，但是执行kill命令就不行了，即使使用sudo尝试使用root身份执行也不行：

通过/var/log/secure日志文件可以看的更详细：

常用实例讲解

1 .oracle用户可以在任何地点以任何的身份执行所有命令，等同于root。

oracle ALL=(ALL)ALL

2. oracle2用户可以在任何地点以root的身份执行命令useradd(无需密码)和usermod（需要密码).

这样oracle2就可以免密码useradd，有密码（密码为oracle2的自身密码）使用userdel。

oracle2 ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel

使用方式如下

[oracle2@centos74 ~]$ useradd test001 # 直接使用命令是不可以的。

-bash: /usr/sbin/useradd: Permission denied

[oracle2@centos74 ~]$ sudo useradd test001                          # 必须加sudo

[oracle2@centos74 ~]$ id test001                                    # 查看添加的用户信息

uid=1031(test001) gid=1032(test001) groups=1032(test001)

3. oracle3用户只能在192.168.1.120主机远程登录并以root身份执行ifconfig eth0命令。

Cmnd_Alias NETCMND = /sbin/ifconfig eth0

oracle3 192.168.1.120 = (root) NOPASSWD:NETCMND

4. oracle4用户可以执行/usr/sbin下的所有命令除了/usr/sbin/userdel

oracle4 ALL=(ALL) /usr/sbin/,!/usr/sbin/userdel

5. oracle5用户可以cat /var/log/secure*的文件

oracle5 ALL=(ALL) /bin/cat /var/log/secure*,!/bin/cat /var/log/secure* *

---