Linux基础（day13）

3.7 su命令

su命令介绍

• su命令，它是用来切换用户的
• 快捷键ctrl+d，退出当前用户

su命令用法

• su - username 彻底切换当前用户

[root@localhost ~]# whoami
root
[root@localhost ~]# su - hanfeng
[hanfeng@localhost ~]$ whoami
hanfeng
[hanfeng@localhost ~]$ pwd
/home/hanfeng
[hanfeng@localhost ~]$ ls -la
总用量 16
drwx------. 2 hanfeng ha1   83 11月  1 15:07 .
drwxr-xr-x. 4 root    root  34 10月 31 15:38 ..
-rw-------. 1 hanfeng ha1   21 11月  1 15:18 .bash_history
-rw-r--r--. 1 hanfeng ha1   18 8月   3 2016 .bash_logout
-rw-r--r--. 1 hanfeng ha1  193 8月   3 2016 .bash_profile
-rw-r--r--. 1 hanfeng ha1  231 8月   3 2016 .bashrc
[hanfeng@localhost ~]$ 登出
[root@localhost ~]#

其中这个 - ，目的就是完全的切换用户，使用本身的配置、环境变量等
.bash开头的文件都是用户的配置文件

• su username 看到用户已经切换，但不是完全的切换过来，由于还在/root用户下

[root@localhost ~]# su hanfeng
[hanfeng@localhost root]$ whoami
hanfeng
[hanfeng@localhost root]$ pwd
/root
[hanfeng@localhost root]$ exit
[root@localhost ~]#

su - -c用法

• su - -c “命令” 用户名：是不进入这个帐户，可是以这个帐户的身份执行命令

[root@localhost ~]# su - -c "touch /tmp/han.111" hanfeng
[root@localhost ~]# ls -lt /tmp/ |head
总用量 0
-rw-r--r--. 1 hanfeng ha1   0 11月  1 15:45 han.111
drwx------. 3 root    root 17 11月  1 10:21 systemd-private-5909416742444897abc72857986169b4-vmtoolsd.service-klBF7K
[root@localhost ~]# id hanfeng
uid=1000(hanfeng) gid=1001(ha1) 组=1001(ha1),1002(user3)
[root@localhost ~]#

这里会看到文件的属组是ha1，由于hanfeng用户的属组就是ha1

• su命令切换用户后，再切换到另外一个用户下
  • 只要输入再次切换用户的密码便可登陆

[root@localhost ~]# su - hanfeng
上一次登陆：三 11月  1 16:09:37 CST 2017pts/0 上
[hanfeng@localhost ~]$ su - user5
密码：
最后一次失败的登陆：三 11月  1 16:10:09 CST 2017pts/0 上
最有一次成功登陆后有 1 次失败的登陆尝试。
[user5@localhost ~]$ ls -la
总用量 12
drwx------. 2 user5 user5  62 11月  1 16:07 .
drwxr-xr-x. 5 root  root   47 11月  1 16:07 ..
-rw-r--r--. 1 user5 user5  18 8月   3 2016 .bash_logout
-rw-r--r--. 1 user5 user5 193 8月   3 2016 .bash_profile
-rw-r--r--. 1 user5 user5 231 8月   3 2016 .bashrc
[user5@localhost ~]$ 登出
[hanfeng@localhost ~]$ 登出
[root@localhost ~]#

/etc/skel文件

• useradd -M 不要自动创建用户的登入目录，就是说建立的用户没有配置文件
• /etc/skel是存放模板配置文件

[root@localhost ~]# useradd -M ll
[root@localhost ~]# su - ll
su: 警告：没法更改到 /home/ll 目录: 没有那个文件或目录
-bash-4.2$ 
-bash-4.2$ 登出
[root@localhost ~]# mkdir /home/ll
[root@localhost ~]# chown ll:ll /home/ll/
[root@localhost ~]# su - ll
上一次登陆：三 11月  1 16:20:29 CST 2017pts/0 上
-bash-4.2$ pwd
/home/ll
-bash-4.2$ ls -la
总用量 0
drwxr-xr-x. 2 ll   ll    6 11月  1 16:28 .
drwxr-xr-x. 6 root root 57 11月  1 16:28 ..
-bash-4.2$ 登出
[root@localhost ~]# cp  /etc/skel/.bash* /home/ll/
[root@localhost ~]# chown -R ll:ll !$
chown -R ll:ll /home/ll/
[root@localhost ~]# su - ll
上一次登陆：三 11月  1 16:55:28 CST 2017pts/0 上
[ll@localhost ~]$ 登出
[root@localhost ~]#

• 普通用户也能够 su - 到root用户下，只须要root用户的密码

[root@hf-01 ~]# su - hanfeng
上一次登陆：五 10月 27 05:14:42 CST 2017pts/1 上
[hanfeng@hf-01 ~]$ su -
密码：
上一次登陆：四 11月  2 01:26:08 CST 2017从 192.168.74.1pts/0 上
[root@hf-01 ~]# whoami
root
[root@hf-01 ~]# 登出
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]# 登出
[root@hf-01 ~]#

3.8 sudo命令

sudo命令介绍

• sudo命令，能够不切换用户就能够获取其余用户的权限来执行相关命令。(一般状况就是，给普通用户受权root用户的身份)
  • visudo命令，能够打开sudo命令的配置文件(会看到其实代开的是/etc/sudoers.tmp这个文件)

  [root@hf-01 ~]# visudo  会进入/etc/sudoers.tmp的配置文件中
  
   97 ## Allow root to run any commands anywhere
   98 root    ALL=(ALL)       ALL
   99 hanfeng ALL=(ALL)       /usr/bin/ls, /usr/bin/mv, /usr/bin/ls
   [root@hf-01 ~]#

  1. 输入 :set nu 来显示行号
  2. 咱们在root用户下面一行，在添加一个用户，并能够运/usr/bin/ls, usr/bin/mv, /usr/bin/cat命令，可写多个， 也可写ALL(表示全部)
  3. 而后 :wq 保存退出

1. 默认root支持sudo，由于文件中默认有root ALL=(ALL) ALL 。
2. 在这一行下面加入 hanfeng ALL=(ALL) /usr/bin/ls, /usr/bin/mv, /usr/bin/ls ,意思是hanfeng这个用户在执行sudo这个命令时，能够获取部分root用户的权限。

• 从左到右依次为，第一个ALL就能够理解为主机的意思，第二个ALL是能够获取哪一个用户的权限，All就是全部包括root，第三个ALL是指使用sudo执行全部命令。

sudo命令的用法

sudo命令用法一

• su命令能够切换用户身份
• 在 su 在切换成普通用户后，是没法查看/root/目录的，这时用sudo命令，则可让该用户临时拥有root用户的权限
• 使用在visudo命令中，编辑的命令要使用绝对路径

[root@hf-01 ~]# su - hanfeng
上一次登陆：四 11月  2 03:52:44 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ ls /root/
ls: 没法打开目录/root/: 权限不够
[hanfeng@hf-01 ~]$ sudo /usr/bin/ls /root/  在执行命令后，会提示输入hanfeng用户的密码

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for hanfeng: 
11.txt	234    33.txt   ha.txt
[hanfeng@hf-01 ~]$ ls /root/    在hanfeng用户下直接去执行会发现没法打开/root/目录
ls: 没法打开目录/root/: 权限不够
[hanfeng@hf-01 ~]$ sudo /usr/bin/ls /root/
11.txt	234    33.txt   ha.txt
[hanfeng@hf-01 ~]$ mv /root/ha.txt /root/haha.txt
mv: 没法打开目录/root/: 权限不够
[hanfeng@hf-01 ~]$ sudo /usr/bin/mv /root/ha.txt /root/haha.txt
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

sudo命令用法二

• 在visudo命令中， 编辑/etc/sudoers.tmp配置文件，设置NOPASSWD: ALL，则以后不再须要输入密码。
• 在sudo命令下，可使用绝对路径命令，也能够直接使用命令去执行，获得的结果相同

[root@hf-01 ~]# visudo
[root@hf-01 ~]# su - user2
上一次登陆：四 11月  2 07:17:04 CST 2017pts/0 上
[user2@hf-01 ~]$ ls /root/
ls: 没法打开目录/root/: 权限不够
[user2@hf-01 ~]$ sudo ls /root/
11.txt	234    33.txt  haha.txt
[user2@hf-01 ~]$ sudo /usr/bin/ls /root/
11.txt	234    33.txt  haha.txt
[user2@hf-01 ~]$ 登出
[root@hf-01 ~]#

sudo命令用法三

• 在visudo命令中，给一些用户设置一些别名，这里的别名至关于一个虚拟的用户
  • 如：User Aliases 给用户作一个别名
  • 其中的ADMINS是虚拟用户，jsmith, mikem是两个真实用户，因此说虚拟用户里面存在两个真实用户

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem

• 在visudo命令中，给命令设置一些别名

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient        , /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig        , /sbin/mii-tool

例子：

[root@hf-01 ~]# visudo 进入到配置环境中

而后到
## Networking   那一段落最后加上
HANFENG_CMD = /usr/bin/ls, /usr/bin/mv, /usr/bin/cat

并将用户名hanfeng后面，去除那些绝对路径命令，修改上HANFENG_CMD，而后保存退出
root    ALL=(ALL)       ALL
hanfeng ALL=(ALL)       HANFENG_CMD

[root@hf-01 ~]# su - hanfeng
上一次登陆：四 11月  2 05:46:40 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ sudo ls /root/       这里会发现能够查看/root/目录下的文件
[sudo] password for hanfeng: 
11.txt	234    33.txt   haha.txt
[hanfeng@hf-01 ~]$ sudo ls /root/
11.txt	234    33.txt   haha.txt
[hanfeng@hf-01 ~]$ sudo cat /root/haha.txt
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

• 对用户组作出一些限制

## Allows people in group wheel to run all commands
    109 %wheel  ALL=(ALL)       ALL

sudo命令总结：

1. 在visudo命令中的配置文件下，输入 :set nu 则每行会显示出行号。
2. 在第一次使用sudo命令，去执行某条命令，会要求输入当前用户的密码，但在第二次执行该条命令时，直接输入便可执行(或者，在visudo的配置文件中，在该用户的写上无需密码，如hanfeng ALL=(ALL) NOPASSWD:ALL 就可直接登陆，无需密码了)，再添加命令须要使用绝对路径
3. 在visudo的配置文件中写错了，保存退出后，会报错，这时选择 e 而后回车继续进去编辑便可。
4. 在visudo的配置文件中，添加命令，须要使用绝对路径（使用命令的时候可使用绝对路径命令或命令去执行）
5. sudo命令，就是用普通用户临时拥有root用户的身份，去执行某一条命令。(这样就能够避免将root用户给普通用户了)
6. 给用户、命令作一些别名，对用户组作出一些限制

3.9 限制root远程登陆

sudo su - root 命令（root可省略）

• 设置不须要密码直接切换到root用户下
  • 在visudo中
  • 在User_Alias HANS = hanfeng, user2, user4
  • HANS ALL=(ALL) NOPASSWD: /usr/bin/su
  • 设置完成后就可直接切换到root用户下了

[root@hf-01 ~]# visudo  在配置环境中设置

 在## User Aliases一段末尾处的下一行设置
    User_Alias HANS = hanfeng, user2, user4
在 ## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
hanfeng ALL=(ALL)       HANFENG_CMD
user10  ALL=(ALL)       NOPASSWD: /usr/bin/ls, /usr/bin/mv, /usr/bin/cat
user2   ALL=(ALL)       NOPASSWD: /usr/bin/ls, /usr/bin/mv, /usr/bin/cat
在这里加上一下点，而后保存退出
HANS    ALL=(ALL)       NOPASSWD: /usr/bin/su

而后执行命令
[root@hf-01 ~]# su - hanfeng
上一次登陆：四 11月  2 07:51:34 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ sudo su -
上一次登陆：四 11月  2 05:38:13 CST 2017从 192.168.74.1pts/1 上
[root@hf-01 ~]# whoami
root
[root@hf-01 ~]# 登出
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

限制root用户远程登陆

• 在vi /etc/ssh/sshd_config文件中设置
  • 在/etc/ssh/sshd_config里面搜索关键词用法和less同样，是 /关键词 就会出现

[root@hf-01 ~]# vi /etc/ssh/sshd_config    在这里搜索/Root

#LoginGraceTime 2m
PermitRootLogin no     将前面的 #号 去除并将yes改成no，表示不容许远程登陆了
#StrictModes yes

而后保存退出，再重启配置服务
[root@hf-01 ~]# systemctl restart sshd.service
[root@hf-01 ~]#

• 而后再去xshell链接，会发现密码和秘钥都没法登陆
• 使用putty去登录普通用户，就会看到普通用户没法去访问/root/目录，可是使用sudo su - root就可切换到root用户下使用

扩展

1. sudo与su比较

2. sudo配置文件样例

3. sudo -i 也能够登陆到root吗？