Linux入门系列——su和sudo

su和sudo这两个命令是Linux运维必须要会的，通常在生产环境中都是使用普通帐号来登录，再使用su或sudo来执行一些管理命令。

su：run a shell with substitute user and group ids

-,-l,--login 切换后使用指定用户的的shell。

-c,--command=COMMAND 可以在不切换当前shell的情况下，用指定的用户来执行一个命令；

如果在su的时候没有加”-“或“-l”或“--login”那么默认的会使用 当前用户 的shell来执行 ；

sudo的配置文件是： /etc/sudoers ，该文件可以定义哪个用户可以在哪个机器上以哪个用户的身份来执行哪些命令；

在配置sudo时必须使用 visudo 来编辑配置文件，因为使用visudo可以检查修改后的文件的语法是否正确；

可以将上面的配置行分成四部分：part1 part2 part3 part4

例如：

那么如果用户的数量过多的时候是不是要为每个用户来创建一个条目呢，很显示这样做是不科学的。所以sudo就引入了别名的概念，其实和组也差不多；

alias定义的语法：

要注意的是，这个Alias的名称一定要大写；

user1是一个用户，user2是一个组，所以user2的前面要加上%

可以使用主机名，IP地址，网段(网段的掩码可以写成255.255.255.0，也可以写成/24)

命令必须使用绝对路径。如果只指定了一个目录，那么用户就可以执行该目录下的所有的文件；上面的“=”右边的都可以使用“！”来取反。表示除了xxx以外；

例子 ：请允许user1,user2,user3在192.168.20.44和192.168.10.0/24网段的机器上使用sudo切换到root用户来执行useradd和setup命令；

然后就可以使用user1,user2,user3这三个用户去测试了；

注意：当用户第一次执行sudo命令的时候是需要用户输入自己的密码的。当第一次输入正确后，这个密码就会被缓存5分钟，在5分钟内用户再次使用sudo来切换身份执行命令的时候就不需要再次输入自己的密码。

这样呢有些时候会有一个安全隐患，所以为了去掉这个5分钟，可以在使用sudo命令的时候加上“-k”参数，这样用户在每次执行sudo命令的时候都会让用户输入自己的密码。

如果想让某个用户在执行sudo的时候不需要输入自己的密码，那么可以在命令的前面添加NOPASSWD。/etc/sudoers的内容如下：

这样的话，user1,user2,user3这三个用户在执行指定的命令的时候就不需要输入自己的密码了。

如果其中的命令有的需要输入密码，有的不需要输入密码的话，那就把PASSWD:写在那些命令的前面。或是把NOPASSWD:写在最后一个命令中；

例子：让用户user4使用passwd来管理用户的密码，但是不能给root用户设置密码：

注意：如果最后不加上!/usr/bin/passwd root的话，那么会有很大的漏洞，user4可以修改root用户的密码；当添加上后，user4再次执行sudo passwd root的时候就会提示：

su命令和su -命令最大的本质区别就是：前者只是切换了root身份，但Shell环境仍然是普通用户的Shell；而后者连用户和Shell环境一起切换成root身份了。只有切换了Shell环境才不会出现PATH环境变量错误。su切换成root用户以后，pwd一下，发现工作目录仍然是普通用户的工作目录；而用su -命令切换以后，工作目录变成root的工作目录了。用echo $PATH命令看一下su和su -以后的环境变量有何不同。以此类推，要从当前用户切换到其它用户也一样，应该使用su -命令。《Linux就该这么学》里有相关介绍，建议看看。

1、定义上：

su为switch user，即切换用户的简写。su是最简单的身份切换名，用su我们能够进行不论什么用户的切换，一般都是su - username，然后输入password就ok了，可是root用su切换到其它身份的时候是不须要输入password的。

sudo是一种权限管理机制e79fa5e98193e4b893e5b19e31333366306434，依赖于/etc/sudoers，其定义了授权给哪个用户可以以管理员的身份能够执行什么样的管理命令。

2、格式上：

su格式为两种：su -l USERNAME（-l为login，即登陆的简写）、su USERNAME。

sudo格式：sudo -u USERNAME COMMAND。

3、默认情况下：

su默认情况下如果不指定USERNAME（用户名），默认即为root，所以切换到root的身份的命令即为：su -root或su -，su root 或su。

sudo默认情况下，系统只有root用户可以执行sudo命令。需要root用户通过使用visudo命令编辑sudo的配置文件/etc/sudoers，才可以授权其他普通用户执行sudo命令。

4、密码上：

两个命令的最大区别是：sudo 命令需要输入当前用户的密码，su 命令需要输入 root 用户的密码。

5、日志记录上：

尽管 sudo 命令是以目标用户（默认情况下是 root 用户）的身份执行命令，但是它们会使用 sudoer所配置的用户名来记录是谁执行命令。而 su 命令是无法直接跟踪记录用户切换到 root 用户之后执行了什么 *** 作。

6、灵活性

sudo 命令比 su 命令灵活很多，因为甚至可以限制 sudo 用户可以访问哪些命令。换句话说，用户通过 sudo 命令只能访问他们工作需要的命令。而 su 命令让用户有权限做任何事情。

---