su和sudo命令

3.7 su命令

su命令用于切换当前用户身份到其余用户身份，变动时须输入所要变动的用户账号与密码。

语法

su(选项)(参数)

选项

-c<指令>或--command=<指令>：执行完指定的指令后，即恢复原来的身份；
-f或——fast：适用于csh与tsch，使shell不用去读取启动文件；
-l或——login：改变身份时，也同时变动工做目录，以及HOME,SHELL,USER,logname。此外，也会变动PATH变量；
-m,-p或--preserve-environment：变动身份时，不要变动环境变量；
-s<shell>或--shell=<shell>：指定要执行的shell；
--help：显示帮助；
--version；显示版本信息。

参数

用户：指定要切换身份的目标用户。

实例

变动账号为root并在执行ls指令后退出变回原使用者：

su -c ls root

变动账号为root并传入-f选项给新执行的shell：

su root -f

变动账号为test并改变工做目录至test的家目录：

su -test

查看当前的用户

用ls -al命令查看wzq用户下的详细信息以及配置文件

以wzq用户的身份，去建立一个文件，并不登陆，也能执行的文件。使用su - -c命令。-的意思切换完全，-c是以用户的身份执行那些命令。[root@localhost-002 ~]# ls -lt /tmp/ |head    使用此命令能够查看是否有执行成功.

建立一个能够登陆切换的用户

查看模版目录

把全部的.bash文件，都复制到user5用户下，使用chown -R 更改全部者，所属组，用！$显示。

进行登陆查看，是否登陆成功，并用pwd查看家目录。

注意：快速退出（登出）当前用户的操做（快捷键）是什么？

ctrl+ d

常见问题：用#su - -c "touch /tmp/d1/file7.txt  wzq"依然报错“权限不够”,可能有其余权限问题。用#lsattr -d /tmp/d1或者s -ld /tmp/d1 看这目录权限查看有无 特殊权限限制。

 

3.8 sudo命令

sudo命令用来以其余身份来执行命令，预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经受权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，以后有5分钟的有效期限，超过时限则必须从新输入密码

选项

-b：在后台执行指令；
-h：显示帮助；
-H：将HOME环境变量设为新身份的HOME环境变量；
-k：结束密码的有效期限，也就是下次再执行sudo时便须要输入密码；。
-l：列出目前用户可执行与没法执行的指令；
-p：改变询问密码的提示符号；
-s<shell>：执行指定的shell；
-u<用户>：以指定的用户做为新的身份。若不加上此参数，则预设以root做为新的身份；
-v：延长密码有效期限5分钟；
-V ：显示版本信息。

实例

配置sudo必须经过编辑/etc/sudoers文件，并且只有超级用户才能够修改它，还必须使用visudo编辑。之因此使用visudo有两个缘由，一是它可以防止两个用户同时修改它；二是它也能进行有限的语法检查。因此，即便只有你一个超级用户，你也最好用visudo来检查一下语法。

visudo默认的是在vi里打开配置文件，用vi来修改文件。咱们能够在编译时修改这个默认项。visudo不会擅自保存带有语法错误的配置文件，它会提示你出现的问题，并询问该如何处理，就像：

>>> sudoers file: syntax error, line 22 <<

此时咱们有三种选择：键入“e”是从新编辑，键入“x”是不保存退出，键入“Q”是退出并保存。若是真选择Q，那么sudo将不会再运行，直到错误被纠正。

如今，咱们一块儿来看一下神秘的配置文件，学一下如何编写它。让咱们从一个简单的例子开始：让用户Foobar能够经过sudo执行全部root可执行的命令。以root身份用visudo打开配置文件，能够看到相似下面几行：

# Runas alias specification
# User privilege specificationroot    ALL=(ALL)ALL

咱们一看就明白个差很少了，root有全部权限，只要仿照现有root的例子就行，咱们在下面加一行（最好用tab做为空白）：

foobar ALL=(ALL)    ALL

保存退出后，切换到foobar用户，咱们用它的身份执行命令：

[foobar@localhost ~]$ ls /root
ls: /root: 权限不够

[foobar@localhost ~]$ sudo ls /root
PassWord:
anaconda-ks.cfg Desktop install.log install.log.syslog

好了，咱们限制一下foobar的权利，不让他随心所欲。好比咱们只想让他像root那样使用ls和ifconfig，把那一行改成：

foobar localhost=    /sbin/ifconfig,   /bin/ls

再来执行命令：

[foobar@localhost ~]$ sudo head -5 /etc/shadow
Password:
Sorry, user foobar is not allowed to execute '/usr/bin/head -5 /etc/shadow' as root on localhost.localdomain.

[foobar@localhost ~]$ sudo /sbin/ifconfigeth0      Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B...

如今让咱们来看一下那三个ALL究竟是什么意思。第一个ALL是指网络中的主机，咱们后面把它改为了主机名，它指明foobar能够在此主机上执行后面的命令。第二个括号里的ALL是指目标用户，也就是以谁的身份去执行命令。最后一个ALL固然就是指命令名了。例如，咱们想让foobar用户在linux主机上以jimmy或rene的身份执行kill命令，这样编写配置文件：

foobar    linux=(jimmy,rene)    /bin/kill

但这还有个问题，foobar到底以jimmy仍是rene的身份执行？这时咱们应该想到了sudo -u了，它正是用在这种时候。 foobar可使用sudo -u jimmy kill PID或者sudo -u rene kill PID，但这样挺麻烦，其实咱们能够没必要每次加-u，把rene或jimmy设为默认的目标用户便可。再在上面加一行：

Defaults:foobar    runas_default=rene

Defaults后面若是有冒号，是对后面用户的默认，若是没有，则是对全部用户的默认。就像配置文件中自带的一行：

Defaults    env_reset

另外一个问题是，不少时候，咱们原本就登陆了，每次使用sudo还要输入密码就显得烦琐了。咱们可不能够再也不输入密码呢？固然能够，咱们这样修改配置文件：

foobar localhost=NOPASSWD:     /bin/cat, /bin/ls

再来sudo一下：

[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg Desktop install.log
install.log.syslog

固然，你也能够说“某些命令用户foobar不能够运行”，经过使用!操做符，但这不是一个好主意。由于，用!操做符来从ALL中“剔出”一些命令通常是没什么效果的，一个用户彻底能够把那个命令拷贝到别的地方，换一个名字后再来运行。

进入cisudozhong ,在visudo中添加wzq用户和user5用户的权限，使他们能够在普通用户模式下能够查看root目录。

在普通用户下，查看root目录，权限不够，须要添加uid和gid，使用chmod命令：chmod u-s /bin/ls

和chmod g+s /bin/ls两条命令。chmod u+s /bin/ls 让普通用户拥有临时root权限便可

问题：这个系统user5用户添加删除不了是什么状况呢？

解决方法：1 user5 不存在，因此你删除不了。多是你以前建立了，而后删除过了，再次删除就提示这个了。

2 你以前删除user5的时候，并无删除掉user5的信箱文件，因此此次你新建用户的时候就会提示这个，虽然提示，但它也能成功建立

3 第三个问题是由于若是你的user5的uid和以前建立时的user5的uid不同，那么这个/var/spool/mail/user5就不属于新的user5的目录了，-r选项至关因而让你删除这个邮箱目录，但没有权限，就报错了。

问题：一直进行不下去，从新进入都不行。

答案：还运行过一个visudo没有退出来。 

ps aux |grep visudo 看下是否有进程。 若是有用这个命令停掉

killall visudo 

日志与安全

sudo为安全考虑得很周到，不只能够记录日志，还能在有必要时向系统管理员报告。可是，sudo的日志功能不是自动的，必须由管理员开启。这样来作：

touch /var/log/sudo
vi /etc/syslog.conf

在syslog.conf最后面加一行（必须用tab分割开）并保存：

local2.debug                    /var/log/sudo

重启日志守候进程，

ps aux grep syslogd

把获得的syslogd进程的PID（输出的第二列是PID）填入下面：

kill –HUP PID

这样，sudo就能够写日志了：

[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg
Desktop install.log
install.log.syslog
$cat /var/log/sudoJul 28 22:52:54 localhost sudo:   foobar :
TTY=pts/1 ; pwd=/home/foobar ; USER=root ; command=/bin/ls /root

不过，有一个小小的“缺陷”，sudo记录日志并非很忠实：

[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null
cat /var/log/sudo...Jul 28 23:10:24 localhost sudo:   foobar : TTY=pts/1 ;
PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow

重定向没有被记录在案！为何？由于在命令运行以前，shell把重定向的工做作完了，sudo根本就没看到重定向。这也有个好处，下面的手段不会得逞：

[foobar@localhost ~]$ sudo ls /root > /etc/shadowbash: /etc/shadow: 权限不够

sudo 有本身的方式来保护安全。以root的身份执行sudo-V，查看一下sudo的设置。由于考虑到安全问题，一部分环境变量并无传递给sudo后面的命令，或者被检查后再传递的，好比：PATH，HOME，SHELL等。固然，你也能够经过sudoers来配置这些环境变量。

3.9 限制root远程登陆

在visudo中设置用户，设置用户的alias。而后设定一个规则。

添加一个WZQ用户，登陆时不用密码，退出时，按ESC，而后"shift+:",输入小写的wq,保存并退出。 

登陆wzq用户，而后用命令“sudo  su -”行使root用户的权限，从普通用户直接登陆root用户。

改为no不容许root登陆，使用systemctl restart sshd_service,重启网络服务。

问题：若是别人拿了个人普通用户账号，sudo su - 切换到root就不须要密码，就能进root用户。

解决办法：

设置两个sudo的规则，一个针对su命令的，其余针对非su命令的。

原则：

1 设置多个普通用户，分类，有的能够sudo到root，有的不能够

2 对全部普通用户作审计

这样就够了，即便sudo su的也是个别用户，并非全部。好比，生产环境的服务器上，有运维的、开发的，开发的不能给su权限，运维能够给。