su和sudo的區別與使用

一.   使用 su 命令臨時切換用戶身份

一、su 的適用條件和威力

su命令就是切換用戶的工具，怎麼理解呢？好比咱們以普通用戶beinan登陸的，但要添加用戶任務，執行useradd ，beinan用戶沒有這個權限，而這個權限偏偏由root所擁有。解決辦法沒法有兩個，一是退出beinan用戶，從新以root用戶登陸，但這種辦法並非最好的；二是咱們沒有必要退出beinan用戶，能夠用su來切換到root下進行添加用戶的工做，等任務完成後再退出root。咱們能夠看到固然經過su 切換是一種比較好的辦法；

經過su能夠在用戶之間切換，若是超級權限用戶root向普通或虛擬用戶切換不須要密碼，什麼是權力？這就是！而普通用戶切換到其它任何用戶都須要密碼驗證；

二、su的優缺點；

su 的確爲管理帶來方便，經過切換到root下，能完成全部系統管理工具，只要把root的密碼交給任何一個普通用戶，他都能切換到root來完成全部的系統管理工做；但經過su切換到root後，也有不安全因素；好比系統有10個用戶，並且都參與管理。若是這10個用戶都涉及到超級權限的運用，作爲管理員若是想讓其它用戶經過su來切換到超級權限的root，必須把root權限密碼都告訴這10個用戶；若是這10個用戶都有root權限，經過root權限能夠作任何事，這在必定程度上就對系統的安全形成了威協；想一想Windows吧，簡直就是惡夢；「沒有不安全的系統，只有不安全的人」，咱們絕對不能保證這 10個用戶都能按正常操做流程來管理系統，其中任何一人對系統操做的重大失誤，均可能致使系統崩潰或數據損失；因此su 工具在多人蔘與的系統管理中，並非最好的選擇，su只適用於一兩我的參與管理的系統，畢竟su並不能讓普通用戶受限的使用；超級用戶root密碼應該掌握在少數用戶手中，這絕對是真理！因此集權而治的存在仍是有必定道理的

二. sudo 受權許可以使用的su，也是受限制的su

 sudo 的適用條件

因爲su 對切換到超級權限用戶root後，權限的無限制性，因此su並不能擔任多個管理員所管理的系統。若是用su 來切換到超級用戶來管理系統，也不能明確哪些工做是由哪一個管理員進行的操做。特別是對於服務器的管理有多人蔘與管理時，最好是針對每一個管理員的技術特長和管理範圍，而且有針對性的下放給權限，而且約定其使用哪些工具來完成與其相關的工做，這時咱們就有必要用到 sudo。

經過sudo，咱們能把某些超級權限有針對性的下放，而且不須要普通用戶知道root密碼，因此sudo 相對於權限無限制性的su來講，仍是比較安全的，因此sudo 也能被稱爲受限制的su ；另外sudo 是須要受權許可的，因此也被稱爲受權許可的su；

sudo 執行命令的流程是當前用戶切換到root（或其它指定切換到的用戶），而後以root（或其它指定的切換到的用戶）身份執行命令，執行完成後，直接退回到當前用戶；而這些的前提是要經過sudo的配置文件/etc/sudoers來進行受權；

從編寫 sudo 配置文件/etc/sudoers開始

sudo的配置文件是/etc/sudoers ，咱們能夠用他的專用編輯工具visodu ，此工具的好處是在添加規則不太準確時，保存退出時會提示給咱們錯誤信息；配置好後，能夠用切換到您受權的用戶下，經過sudo -l 來查看哪些命令是能夠執行或禁止的；

/etc/sudoers 文件中每行算一個規則，前面帶有#號能夠看成是說明的內容，並不執行；若是規則很長，一行列不下時，能夠用\號來續行，這樣看來一個規則也能夠擁有多個行；

/etc/sudoers 的規則可分爲兩類；一類是別名定義，另外一類是受權規則；別名定義並非必須的，但受權規則是必須的；

/etc/sudoers 配置文件中別名規則

別名規則定義格式以下：

Alias_Type NAME = item1, item2, ...

或

Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

別名類型（Alias_Type）：別名類型包括以下四種

Host_Alias 定義主機別名；

User_Alias 用戶別名，別名成員能夠是用戶，用戶組（前面要加%號）

Runas_Alias 用來定義runas別名，這個別名指定的是「目的用戶」，即sudo 容許切換至的用戶；

Cmnd_Alias 定義命令別名；

NAME 就是別名了，NMAE的命名是包含大寫字母、下劃線以及數字，但必須以一個大寫字母開頭，好比SYNADM、SYN_ADM或SYNAD0是合法的，sYNAMDA或1SYNAD是不合法的；

item 按中文翻譯是項目，在這裏咱們能夠譯成成員，若是一個別名下有多個成員，成員與成員之間，經過半角,號分隔；成員在必須是有效並事實存在的。什麼是有效的呢？好比主機名，能夠經過w查看用戶的主機名（或ip地址），若是您只是本地機操做，只經過hostname 命令就能查看；用戶名固然是在系統中存在的，在/etc/paswd中必須存在；對於定義命令別名，成員也必須在系統中事實存在的文件名（須要絕對路徑）；

item成員受別名類型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias 制約，定義什麼類型的別名，就要有什麼類型的成員相配。咱們用Host_Alias定義主機別名時，成員必須是與主機相關相關聯，好比是主機名（包括遠程登陸的主機名）、ip地址（單個或整段）、掩碼等；當用戶登陸時，能夠經過w命令來查看登陸用戶主機信息；用User_Alias和 Runas_Alias定義時，必需要用系統用戶作爲成員；用Cmnd_Alias 定義執行命令的別名時，必須是系統存在的文件，文件名能夠用通配符表示，配置Cmnd_Alias時命令須要絕對路徑；其中 Runas_Alias 和User_Alias 有點類似，但與User_Alias 絕對不是同一個概念，Runas_Alias 定義的是某個系統用戶能夠sudo 切換身份到Runas_Alias 下的成員；咱們在受權規則中以實例進行解說；別名規則是每行算一個規則，若是一個別名規則一行容不下時，能夠經過\來續行；同一類型別名的定義，一次也能夠定義幾個別名，他們中間用:號分隔，    

/etc/sudoers中的受權規則

受權規則是分配權限的執行規則，咱們前面所講到的定義別名主要是爲了更方便的受權引用別名；若是系統中只有幾個用戶，其實下放權限比較有限的話，能夠不用定義別名，而是針對系統用戶直接直接受權，因此在受權規則中別名並非必須的；

受權規則並非無章可尋，咱們只說基礎一點的，比較簡單的寫法，若是您想詳細瞭解受權規則寫法的，請參看man sudoers

受權用戶 主機=命令動做

這三個要素缺一不可，但在動做以前也能夠指定切換到特定用戶下，在這裏指定切換的用戶要用( )號括起來，若是不須要密碼直接運行命令的，應該加NOPASSWD:參數，但這些能夠省略；舉例說明。做者：jz