文章作者:LemonSe
su 命令介绍及主要用法
首先需要解释下
su代表什么意思。
之前一直以为
su是super user,查阅资料之后才知道原来表示switch user。
知道
su是由什么缩写来的之后,那么它提供的功能就显而易见了,就是切换用户。
- 参数su 的一般使用方法是:
su `<user_name>`
或者
su - `<user_name>`
两种方法只差了一个字符
-,会有比较大的差异:
- 参数,那么是一种 login-shell 的方式,意思是说切换到另一个用户 <user_name> 之后,当前的 shell 会加载 <user_name> 对应的环境变量和各种设置;- 参数,那么是一种 non-login-shell 的方式,意思是说我现在切换到了 <user_name>,但是当前的 shell 还是加载切换之前的那个用户的环境变量以及各种设置。光解释会比较抽象,我们看一个例子就比较容易理解了。
我们首先从 ubuntu 用户以
non-login-shell的方式切换到 root 用户,比较两种用户状态下环境变量中PWD的值(su命令不跟任何<user_name>,默认切换到 root 用户):
rumenz@local:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略......
rumenz@local:~$ su # non-login-shell 方式
Password: # 输入 root 用户登录密码
rumenz@local:/home/ubuntu# env | grep ubuntu
PWD=/home/ubuntu # 可以发现还是 /home/ubuntu
rumenz@local:/home/ubuntu#
我们的确是切换到 root 用户了,但是 shell 环境中的变量并没有改变,还是用之前 ubuntu 用户的环境变量。
接着我们从 ubuntu 用户以
login-shell的方式切换到 root 用户,同样比较两种用户状态下环境变量中PWD的值:
rumenz@local:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略.......
rumenz@local:~$ su - # 是 login-shell 方式
Password:
rumenz@local:~# env | grep root
USER=root
PWD=/root # 已经变成 /root 了
HOME=/root
MAIL=/var/mail/root
LOGNAME=root
rumenz@local:~#
可以看到用
login-shell的方式切换用户的话,shell 中的环境变量也跟着改变了。
总结:具体使用哪种方式切换用户看个人需求:
non-login-shell 的方式;login-shell 的方式。前面已经介绍了,如果
su命令后面不跟任何<user_name>,那么默认是切换到 root 用户:
rumenz@local:~$ su -
Password: # root 用户的密码
rumenz@local:/home/ubuntu#
因为我们在
1. 准备工作部分已经新建了一个 test_user 用户,并且我们也知道 test_user 用户的登录密码(root 用户设置的),我们就能从 ubuntu 用户切换到 test_user 用户:
rumenz@local:~$ su - test_user
Password: # test_user 用户的密码
$
-c 参数前面的方法中,我们都是先切换到另一个用户(root 或者 test_user),在哪个用户的状态下执行命令,最后输入
exit返回当前 ubuntu 用户。
还有一种方式是:不需要先切换用户再执行命令,可以直接在当前用户下,以另一个用户的方式执行命令,执行结束后就返回当前用户。这就得用到
-c参数。
具体使用方法是:
su - -c "指令串" # 以 root 的方式执行 "指令串"
看个例子:
rumenz@local:~$ cat /etc/shadow
cat: /etc/shadow: Permission denied # ubuntu 用户不能直接查看 /etc/shadow 文件内容
rumenz@local:~$ su - -c "tail -n 4 /etc/shadow"
Password: # 输入 root 用户密码
ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/:18352:0:99999:7:::
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
rumenz@local:~$ # 执行完马上返回 ubuntu 用户而不是 root 用户
这种执行方式和后面要介绍的
sudo很像,都是临时申请一下 root 用户的权限。但还是有差异,我们接着往后看。
sudo 命令介绍及主要用法
sudo的英文全称是super user do,即以超级用户(root 用户)的方式执行命令。这里的sudo和之前su表示的switch user是不同的,这点需要注意,很容易搞混。
我们先介绍
sudo命令能做什么事情,然后说明为何能做到这些,以及如何做到这些。
我们在 Linux 中经常会碰到
Permission denied这种情况,比如以 ubuntu 用户的身份查看/etc/shadow的内容。因为这个文件的内容是只有 root 用户能查看的。
那如果我们想要查看怎么办呢?这时候就可以使用
sudo:
rumenz@local:~$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied # 没有权限
rumenz@local:~$ sudo !! # 跟两个惊叹号
sudo tail -n 3 /etc/shadow
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
rumenz@local:~$
实例中,我们使用了
sudo !!这个小技巧,表示重复上面输入的命令,只不过在命令最前面加上sudo。
因为我已经设置了
sudo命令不需要输入密码,所以这里sudo !!就能直接输出内容。如果没有设置的话,需要输入当前这个用户的密码,例如本例中,我就应该输入 ubuntu 用户的登录密码。
两次相邻的
sudo操作,如果间隔在5min之内,第二次输入sudo不需要重新输入密码;如果超过5min,那么再输入sudo时,又需要输入密码。所以一个比较省事的方法是设置sudo操作不需要密码。后面介绍如何设置。
sudo除了以 root 用户的权限执行命令外,还有其它几个用法,这里做简单介绍。
切换到 root 用户:
sudo su -
这种方式也能以
login-shell的方式切换到 root 用户,但是它和su -方法是有区别的:
sudo su - 后,需要提供当前用户的登录密码,也就是 ubuntu 用户的密码;su - 后,需要提供 root 用户的登录密码。还有一个命令:
sudo -i
这个命令和
sudo su -效果一致,也是切换到 root 用户,也是需要提供当前用户(ubuntu 用户)的登录密码。
我们现在切换到 test_user 用户,尝试显示
/etc/shadow文件的内容:
rumenz@local:~$ su - test_user
Password: # test_user 的密码
$ sudo cat /etc/shadow
[sudo] password for test_user: # test_user 的密码
test_user is not in the sudoers file. This incident will be reported.
$
我们会看到倒数第二行中的错误提示信息,我们无法查看
/etc/shadow的内容,这是为什么?为什么 ubuntu 可以使用sudo但是 test_user 不行呢?
这就涉及到
sudo的工作原理了。
sudo 工作原理一个用户能否使用
sudo命令,取决于/etc/sudoers文件的设置。
从 3.1 节中我们已经看到,ubuntu 用户可以正常使用
sudo,但是 test_user 用户却无法使用,这是因为/etc/sudoers文件里没有配置 test_user。
/etc/sudoers也是一个文本文件,但是因其有特定的语法,我们不要直接用vim或者vi来编辑它,需要用visudo这个命令。输入这个命令之后就能直接编辑/etc/sudoers这个文件了。
需要说明的是,只有 root 用户有权限使用
visudo命令。
我们先来看下输入
visudo命令后显示的内容。
输入(root 用户):
rumenz@local:~# visudo
输出:
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
ubuntu ALL=(ALL:ALL) NOPASSWD: ALL
解释下每一行的格式:
root 、ubuntu 等;ALL 表示允许从任何主机登录当前的用户账户;ALL 表示:这一行行首对一个的用户可以切换到系统中任何一个其它用户;ALL 表示:当前行首的用户,能以 root 用户的身份下达什么命令,ALL 表示可以下达任何命令。我们还注意到
ubuntu对应的那一行有个NOPASSWD关键字,这就是表明 ubuntu 这个用户在请求sudo时不需要输入密码,到这里就解释了前面的问题。
同时我们注意到,这个文件里并没有
test_user对应的行,这也就解释了为什么 test_user 无法使用sudo命令。
接下来,我们尝试将 test_user 添加到
/etc/sudoers文件中,使 test_user 也能使用sudo命令。我们在最后一行添加:
test_user ALL=(ALL:ALL) ALL # test_user 使用 sudo 需要提供 test_user 的密码
接下来我们再在 test_user 账户下执行
sudo:
rumenz@local:~$ su - test_user
Password:
$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied
$ sudo tail -n 3 /etc/shadow # 加上 sudo
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
$
可以看到,现在已经可以使用
sudo了。
我们已经看到了,如果一个用户在
/etc/sudoers文件中,那么它就具有sudo权限,就能通过sudo su -或者sudo -i等命令切换到 root 用户了,那这时这个用户就变成 root 用户了,那这不对系统造成很大的威胁吗?
实际上的确是这样的。所以如果在编辑
/etc/sudoers文件赋予某种用户sudo权限时,必须要确定该用户是可信任的,不会对系统造成恶意破坏,否则将所有 root 权限都赋予该用户将会有非常大的危险。
当然,root 用户也可以编辑
/etc/sudoers使用户只具备一部分权限,即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条,这篇文章不再赘述。
我们已经看到:
su - ,提供 root 账户的密码,可以切换到 root 用户;sudo su - ,提供当前用户的密码,也可以切换到 root 用户两种方式的差异也显而易见:如果我们的 Linux 系统有很多用户需要使用的话,前者要求所有用户都知道 root 用户的密码,这显然是非常危险的;后者是不需要暴露 root 账户密码的,用户只需要输入自己的账户密码就可以,而且哪些用户可以切换到 root,这完全是受 root 控制的(root 通过设置
/etc/sudoers实现的),这样系统就安全很多了。
一般都是推荐使用 sudo 方式。
原文:https://tanjuntao.github.io/2020/05/23/Linux-%E5%AD%A6%E4%B9%A0%E8%AE%B0%E5%BD%95%EF%BC%9Asu-%E5%92%8C-sudo/
