su命令,sudo命令,限制root遠程登陸

su命令

• 切換用戶 命令su的格式：su – username;普通用戶的su命令不加username時，就是切換到root用戶

[wuzhou@linux-128 ~]$ su -
密碼：
上一次登陸：三 11月  1 22:38:52 CST 2017pts/0 上

[wuzhou@linux-128 ~]$ su - user7
密碼：
[user7@linux-128 ~]$ pwd
/home/user7

• su切換用戶，加不加「-」均可以，但仍是有區別的；不加「-」切換用戶後，環境變量仍是上一個用戶的；

[root@linux-128 ~]# su wuzhou        
[wuzhou@linux-128 root]$ pwd
/root
[wuzhou@linux-128 root]$ echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[wuzhou@linux-128 root]$ exit

• • 號加上後會初始化當前用戶的各類環境變量

[root@linux-128 ~]# su - wuzhou
上一次登陸：三 11月  1 22:42:05 CST 2017pts/0 上
[wuzhou@linux-128 ~]$ pwd
/home/wuzhou
[wuzhou@linux-128 ~]$ echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/wuzhou/.local/bin:/home/wuzhou/bin

su - -c 「命令」 username

• 指定某個用戶去執行某個命令；

[root@linux-128 ~]# su - -c "touch /tmp/wuzhou.111" wuzhou
[root@linux-128 ~]# ls -l /tmp/wuzhou.111
-rw-rw-r-- 1 wuzhou wuzhou 0 11月  1 22:50 /tmp/wuzhou.111

root@linux-128 ~]# su - wuzhou
上一次登陸：三 11月  1 22:50:40 CST 2017pts/0 上
[wuzhou@linux-128 ~]$ su - -c "touch /tmp/user7.111" user7
密碼：
[wuzhou@linux-128 ~]$ ls -l /tmp/user7.111
-rw-rw-r-- 1 user7 user7 0 11月  1 22:52 /tmp/user7.111

切換到用戶user5時，提示錯誤，發現是家目錄不對
[root@linux-128 ~]# su - user5
su: 警告：沒法更改到 /home/wuzhou 目錄: 權限不夠
[wuzhou@linux-128 ~]$ tail -5 /etc/passwd
user3:x:1004:1003::/home/user3:/sbin/nolongin
user4:x:1005:1003::/home/user4:/sbin/nolongin
user5:x:1007:1003::/home/wuzhou:/sbin/nologin
而後咱們修改用戶的家目錄
[root@linux-128 ~]# usermod -d /home/user5 user5
再次切換用戶，有提示這個賬戶目前不可用，緣由是家目錄裏面是空的
[root@linux-128 ~]# su - user5
上一次登陸：三 11月  1 22:40:06 CST 2017pts/0 上
This account is currently not available.
[root@linux-128 ~]# ls /home/user5

• 小知識：/etc/skel/ 這個目錄時家目錄文件的模板，若是家目錄沒有這些文件，直接拷貝過去。

[root@linux-128 ~]# cp /etc/skel/.bash* /home/user5/

---

sudo命令

• sudo可使一個普通用戶臨時去執行root的一個命令或者腳本，一般狀況下都是給普通用戶受權root用戶的身份；不使用su的緣由是，su切換的root用戶下，須要root的密碼，告知密碼很不安全；默認狀況下只有root用戶才能使用sudo命令，普通用戶要想使用sudo命令，必需要root預先設定；
• 使用visudo命令編輯配置文件/etc/sudoers，若是沒有這個命令，須要用yum install -y sudo 找到下面內容

## Allow root to run any commands anywhere //容許root用戶去運行全部的命令，在任何地方
root    ALL=(ALL)       ALL命令
user7    ALL=(ALL)       NOPASSWD: /usr/bin/ls,/usr/bin/cat  //咱們能夠在下面添加一些用戶

ALL=(ALL) 左邊ALL 表示全部的登錄方式，遠程，ip/ip段 （ALL）表示以全部的用戶登錄;NOPASSWD: 不須要輸入密碼

[root@linux-128 ~]# su - user7
上一次登陸：三 11月  1 23:36:44 CST 2017pts/0 上
[user7@linux-128 ~]$ sudo ls /root/
11.txt	    12	 1.log	  321.txt.bak	   工號.txt
11.txt.bak  123  321.txt  anaconda-ks.cfg

例子：只容許普通用戶帳戶登陸，而普通用戶登陸後，不須要輸入密碼就能使用su切換到root帳戶下

• 在visudo後面添加下面命令：
• User_Alias USER_SU = wuzhou,user7 //作用戶別名
• Cmnd_Alias SU = /usr/bin/su //作命令別名
• USER_SU ALL=(ALL) NOPASSWD: SU

[wuzhou@linux-128 ~]$ sudo su - user7
上一次登陸：三 11月  1 23:51:53 CST 2017pts/0 上
[user7@linux-128 ~]$ sudo su -
上一次登陸：三 11月  1 23:55:41 CST 2017pts/0 上
[root@linux-128 ~]# whoami
root

---

不容許root遠程登陸linux

/etc/ssh/sshd_config爲sshd服務配置文件，默認容許root帳戶經過ssh遠程登陸linux。若是想要不容許root用戶遠程登陸linux，具體操做方法：修改配置文件/etc/ssh/sshd_config，在文件中找到#PermitRootLogin yes 修改爲PermitRootLogin no，保存後，重啓sshd服務：

[root@linux-128 ~]# vi /etc/ssh/sshd_config
[root@linux-128 ~]# systemctl restart sshd.service

從新打開一個窗口，提示錯誤了，root不能遠程登陸

這個時候咱們能夠登陸普通用戶，而後使用sudo命令切換到root用戶下

[wuzhou@linux-128 ~]$ sudo su - root
上一次登陸：四 11月  2 00:10:38 CST 2017從 192.168.88.1pts/2 上