linux权限之su、su – 和sudo的差异

们都知道很是多的文件都仅仅有root有权限来改动，那么在咱们平时的开发过程当中都建议使用通常帐号来登陆进行开发。还记得前面说到的ssh吗。咱们也是将赞成root登陆设置成no。到必要的时候再切换到root来进行操做，这样就不至于有风险。

那么咱们怎样切换身份呢。

1.su

su是最简单的身份切换名，用su咱们可以进行不论什么用户的切换，通常都是su - username，而后输入password就ok了，但是root用su切换到其它身份的时候是不需要输入password的。起初我都是用su来切换的，后来老大看见了说我这样的方式切换是很差的。你可以尝试其它的方式来切换。我认为这样切换很是方便啊，那到底是很差在哪里呢。后面再看另一种身份的切换方式就知道了。

通常咱们切换身份都是切换到root，而后进行一些仅仅有root能干的事，比方改动配置文件。比方下载安装软件。这些都仅仅能是root才有权限干的事。切换到root可以是单纯的su，或者是su -和su - root，后面两个是同样的意思。

单纯使用su切换到root，读取变量的方式是non-login shell，这样的方式下很是多的变量都不会改变。尤为是PATH。因此root用的很是多的命令都仅仅能用绝对路径来运行。这样的方式仅仅是切换到root的身份。

而用su -这样的方式的话，是login shell方式，它是先以root身份登陆而后再运行别的操做。

假设咱们仅仅要切换到root作一次操做就行了，仅仅要在su后面加个-c參数就行了。运行完此次操做后。又会本身主动切换回咱们本身的身份。很是方便。

那么假设有很是多人管理这个主机的话，那不是很是多人都要知道root的password吗，而且可能有的人仅仅是单纯的进行一次root操做就可以了，这个时候，su方式就不是很是好，rootpassword越少人知道越好，越少人知道就越安全，这时就需要另一种方式了。

2.sudo

相比于su切换身份需要用户的password，经常性的是需要rootpassword，sudo仅仅是需要本身的password，就可以以其它用户的身份来运行命令。经常是以root的身份运行命令。也并非所有人都可以用sudo：

这里我要查看/etc/shadow这个文件的前三行，但是却发现看不了，提示的错误是说我当前这个用户不在sudoers这个文件，因此sudo是依赖于/etc/sudoers这个配置文件的。

sudo的运行有这样一个流程：

1).当用户运行sudo时，系统于/etc/sudoers文件里查找该用户是否有运行sudo的权限；

2).若用户具备可运行sudo的权限。那么让用户输入用户本身的password，注意这里输入的是用户本身的password。

3).假设password正确。变開始进行sudo后面的命令，root运行sudo是不需要输入password的，切换到的身份与运行者身份一样的时候。也不需要输入password。

如下看看/etc/sudoers这个配置文件：

为什么刚開始仅仅有root能运行sudo，切换到root身份经过visudo查看/etc/sudoers这个配置文件，假设是vim /etc/sudoers是可以查看的，但是不能改动，因为sudoers这个文件是由语法的，仅仅能经过visudo来改动。第一个红色方框那行代码，这行代码是什么意思呢。第一列root不用多说，是用户帐号，第二列的ALL意思是登录者的来源主机名，第三列等号右边小括号里的ALL是表明可以切换的身份。第四列ALL是可运行的命令。

1).单个用户的sudoers语法：

假设我要我当前这个用户能运行root的所有操做，那么我仅仅要加一行learnpython ALL=(ALL) ALL。那么假设有很是多人需要运行sudo。那不是要写编写很是多行啊，这样不是很是麻烦，这样就要用到用户组了。

2).利用用户组处理visudo：

看看第二个红色方框那行代码。%wheel表明wheel用户组。假设咱们将需要运行root所有操做的用户都加入到wheel用户组，或者咱们本身定义的用户组。而后加入一行代码。那么就不用一个用户一个用户的加入进来了，这样不是很是省事啊。

3).限制用户sudo的权限：

但是经常咱们不需要用户有那么大的权限。仅仅要让他们具备他们负责范围的权限就可以了。比方有的有的人来管理password，咱们就仅仅让他能进行password的管理，而不让他有别的权限，这样就需要权限的控制了。

假设我让我当前用户来管理password。即learnpython这个用户能使用passwd这个命令来帮root改动用户password。仅仅要加这行learnpython ALL=(root) /usr/bin/passwd，那么learnpython这个用户就可以使用passwd这个命令了：

但是假设仅仅是运行sudo passwd命令，改动的就是root的password，固然咱们不但愿普通用户能具备改动rootpassword的权限，那么在visudo的时候就需要将命令的參数限制好。如改为这样：

[root@localhost ~]# visudo
learnpython ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4).经过别名设置visudo

查看sudoers这个文件的时候。你会看见User_Alias。Host_Alias和Cmnd_Alias这些东西，他们都是一些别名，User_Alias表示具备sudo权限的用户列表，就是第一列參数。Host_Alias表示主机的列表。就是第二列參数。Cmnd_Alias表示赞成运行命令的列表，就是第四列參数。还有个Runas_Alias。我初始的sudoers里是没有的，这个表示用户以什么身份登陆。也就是第三列參数。

因此假设有几个password管理员的话就可以加上例如如下代码：

[root@localhost ~]# visudo
User_Alias PWMNG = manager1, manager2, manager3
Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
PWMNG ALL=(root) PWCMD
5).sudo搭配su

从上面来看。咱们都仅仅是切换到别的用户而后运行命令，接着就切回到咱们本身的用户了。假设咱们要像su那样直接切换到root。而后干本身想干的。这个时候，就要将命令改动成/bin/su -。例如如下：

[root@localhost ~]# visudo
User_Alias ADMINS = user1, user2, user3
ADMINS ALL=(root) /bin/su -
固然这个是需要谨慎了，因为这样用户user1。user2，user3等就直接切换到root了，切换后他们就是老大了。

有没有发现，当咱们连续使用sudo的时候，在必定时间内是不用再次输入咱们的password，这个事实上是系统本身设定的，在五分钟以内运行sudo仅仅需要输入一次password就可以了。

3.总结

了解完su和sudo，是否是发现sudo有太多的优势了。su方式切换是需要输入目标用户的password。而sudo仅仅需要输入本身的password，因此sudo可以保护目标用户的password不外流的。当帮root管理系统的时候，su是直接将root所有权利交给用户。而sudo可以更好分工，仅仅要配置好/etc/sudoers，这样sudo可以保护系统更安全，而且分工明白，有条不紊。