su和sudo命令

3.7 su命令

su命令用於切換當前用戶身份到其餘用戶身份，變動時須輸入所要變動的用戶賬號與密碼。

語法

su(選項)(參數)

選項

-c<指令>或--command=<指令>：執行完指定的指令後，即恢復原來的身份；
-f或——fast：適用於csh與tsch，使shell不用去讀取啓動文件；
-l或——login：改變身份時，也同時變動工做目錄，以及HOME,SHELL,USER,logname。此外，也會變動PATH變量；
-m,-p或--preserve-environment：變動身份時，不要變動環境變量；
-s<shell>或--shell=<shell>：指定要執行的shell；
--help：顯示幫助；
--version；顯示版本信息。

參數

用戶：指定要切換身份的目標用戶。

實例

變動賬號爲root並在執行ls指令後退出變回原使用者：

su -c ls root

變動賬號爲root並傳入-f選項給新執行的shell：

su root -f

變動賬號爲test並改變工做目錄至test的家目錄：

su -test

查看當前的用戶

用ls -al命令查看wzq用戶下的詳細信息以及配置文件

以wzq用戶的身份，去建立一個文件，並不登陸，也能執行的文件。使用su - -c命令。-的意思切換完全，-c是以用戶的身份執行那些命令。[root@localhost-002 ~]# ls -lt /tmp/ |head    使用此命令能夠查看是否有執行成功.

建立一個能夠登陸切換的用戶

查看模版目錄

把全部的.bash文件，都複製到user5用戶下，使用chown -R 更改全部者，所屬組，用！$顯示。

進行登陸查看，是否登陸成功，並用pwd查看家目錄。

注意：快速退出（登出）當前用戶的操做（快捷鍵）是什麼？

ctrl+ d

常見問題：用#su - -c "touch /tmp/d1/file7.txt  wzq"依然報錯「權限不夠」,可能有其餘權限問題。用#lsattr -d /tmp/d1或者s -ld /tmp/d1 看這目錄權限查看有無 特殊權限限制。

 

3.8 sudo命令

sudo命令用來以其餘身份來執行命令，預設的身份爲root。在/etc/sudoers中設置了可執行sudo指令的用戶。若其未經受權的用戶企圖使用sudo，則會發出警告的郵件給管理員。用戶使用sudo時，必須先輸入密碼，以後有5分鐘的有效期限，超過時限則必須從新輸入密碼

選項

-b：在後臺執行指令；
-h：顯示幫助；
-H：將HOME環境變量設爲新身份的HOME環境變量；
-k：結束密碼的有效期限，也就是下次再執行sudo時便須要輸入密碼；。
-l：列出目前用戶可執行與沒法執行的指令；
-p：改變詢問密碼的提示符號；
-s<shell>：執行指定的shell；
-u<用戶>：以指定的用戶做爲新的身份。若不加上此參數，則預設以root做爲新的身份；
-v：延長密碼有效期限5分鐘；
-V ：顯示版本信息。

實例

配置sudo必須經過編輯/etc/sudoers文件，並且只有超級用戶才能夠修改它，還必須使用visudo編輯。之因此使用visudo有兩個緣由，一是它可以防止兩個用戶同時修改它；二是它也能進行有限的語法檢查。因此，即便只有你一個超級用戶，你也最好用visudo來檢查一下語法。

visudo默認的是在vi裏打開配置文件，用vi來修改文件。咱們能夠在編譯時修改這個默認項。visudo不會擅自保存帶有語法錯誤的配置文件，它會提示你出現的問題，並詢問該如何處理，就像：

>>> sudoers file: syntax error, line 22 <<

此時咱們有三種選擇：鍵入「e」是從新編輯，鍵入「x」是不保存退出，鍵入「Q」是退出並保存。若是真選擇Q，那麼sudo將不會再運行，直到錯誤被糾正。

如今，咱們一塊兒來看一下神祕的配置文件，學一下如何編寫它。讓咱們從一個簡單的例子開始：讓用戶Foobar能夠經過sudo執行全部root可執行的命令。以root身份用visudo打開配置文件，能夠看到相似下面幾行：

# Runas alias specification
# User privilege specificationroot    ALL=(ALL)ALL

咱們一看就明白個差很少了，root有全部權限，只要仿照現有root的例子就行，咱們在下面加一行（最好用tab做爲空白）：

foobar ALL=(ALL)    ALL

保存退出後，切換到foobar用戶，咱們用它的身份執行命令：

[foobar@localhost ~]$ ls /root
ls: /root: 權限不夠

[foobar@localhost ~]$ sudo ls /root
PassWord:
anaconda-ks.cfg Desktop install.log install.log.syslog

好了，咱們限制一下foobar的權利，不讓他隨心所欲。好比咱們只想讓他像root那樣使用ls和ifconfig，把那一行改成：

foobar localhost=    /sbin/ifconfig,   /bin/ls

再來執行命令：

[foobar@localhost ~]$ sudo head -5 /etc/shadow
Password:
Sorry, user foobar is not allowed to execute '/usr/bin/head -5 /etc/shadow' as root on localhost.localdomain.

[foobar@localhost ~]$ sudo /sbin/ifconfigeth0      Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B...

如今讓咱們來看一下那三個ALL究竟是什麼意思。第一個ALL是指網絡中的主機，咱們後面把它改爲了主機名，它指明foobar能夠在此主機上執行後面的命令。第二個括號裏的ALL是指目標用戶，也就是以誰的身份去執行命令。最後一個ALL固然就是指命令名了。例如，咱們想讓foobar用戶在linux主機上以jimmy或rene的身份執行kill命令，這樣編寫配置文件：

foobar    linux=(jimmy,rene)    /bin/kill

但這還有個問題，foobar到底以jimmy仍是rene的身份執行？這時咱們應該想到了sudo -u了，它正是用在這種時候。 foobar可使用sudo -u jimmy kill PID或者sudo -u rene kill PID，但這樣挺麻煩，其實咱們能夠沒必要每次加-u，把rene或jimmy設爲默認的目標用戶便可。再在上面加一行：

Defaults:foobar    runas_default=rene

Defaults後面若是有冒號，是對後面用戶的默認，若是沒有，則是對全部用戶的默認。就像配置文件中自帶的一行：

Defaults    env_reset

另外一個問題是，不少時候，咱們原本就登陸了，每次使用sudo還要輸入密碼就顯得煩瑣了。咱們可不能夠再也不輸入密碼呢？固然能夠，咱們這樣修改配置文件：

foobar localhost=NOPASSWD:     /bin/cat, /bin/ls

再來sudo一下：

[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg Desktop install.log
install.log.syslog

固然，你也能夠說「某些命令用戶foobar不能夠運行」，經過使用!操做符，但這不是一個好主意。由於，用!操做符來從ALL中「剔出」一些命令通常是沒什麼效果的，一個用戶徹底能夠把那個命令拷貝到別的地方，換一個名字後再來運行。

進入cisudozhong ,在visudo中添加wzq用戶和user5用戶的權限，使他們能夠在普通用戶模式下能夠查看root目錄。

在普通用戶下，查看root目錄，權限不夠，須要添加uid和gid，使用chmod命令：chmod u-s /bin/ls

和chmod g+s /bin/ls兩條命令。chmod u+s /bin/ls 讓普通用戶擁有臨時root權限便可

問題：這個系統user5用戶添加刪除不了是什麼狀況呢？

解決方法：1 user5 不存在，因此你刪除不了。多是你以前建立了，而後刪除過了，再次刪除就提示這個了。

2 你以前刪除user5的時候，並無刪除掉user5的信箱文件，因此此次你新建用戶的時候就會提示這個，雖然提示，但它也能成功建立

3 第三個問題是由於若是你的user5的uid和以前建立時的user5的uid不同，那麼這個/var/spool/mail/user5就不屬於新的user5的目錄了，-r選項至關因而讓你刪除這個郵箱目錄，但沒有權限，就報錯了。

問題：一直進行不下去，從新進入都不行。

答案：還運行過一個visudo沒有退出來。 

ps aux |grep visudo 看下是否有進程。 若是有用這個命令停掉

killall visudo 

日誌與安全

sudo爲安全考慮得很周到，不只能夠記錄日誌，還能在有必要時向系統管理員報告。可是，sudo的日誌功能不是自動的，必須由管理員開啓。這樣來作：

touch /var/log/sudo
vi /etc/syslog.conf

在syslog.conf最後面加一行（必須用tab分割開）並保存：

local2.debug                    /var/log/sudo

重啓日誌守候進程，

ps aux grep syslogd

把獲得的syslogd進程的PID（輸出的第二列是PID）填入下面：

kill –HUP PID

這樣，sudo就能夠寫日誌了：

[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg
Desktop install.log
install.log.syslog
$cat /var/log/sudoJul 28 22:52:54 localhost sudo:   foobar :
TTY=pts/1 ; pwd=/home/foobar ; USER=root ; command=/bin/ls /root

不過，有一個小小的「缺陷」，sudo記錄日誌並非很忠實：

[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null
cat /var/log/sudo...Jul 28 23:10:24 localhost sudo:   foobar : TTY=pts/1 ;
PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow

重定向沒有被記錄在案！爲何？由於在命令運行以前，shell把重定向的工做作完了，sudo根本就沒看到重定向。這也有個好處，下面的手段不會得逞：

[foobar@localhost ~]$ sudo ls /root > /etc/shadowbash: /etc/shadow: 權限不夠

sudo 有本身的方式來保護安全。以root的身份執行sudo-V，查看一下sudo的設置。由於考慮到安全問題，一部分環境變量並無傳遞給sudo後面的命令，或者被檢查後再傳遞的，好比：PATH，HOME，SHELL等。固然，你也能夠經過sudoers來配置這些環境變量。

3.9 限制root遠程登陸

在visudo中設置用戶，設置用戶的alias。而後設定一個規則。

添加一個WZQ用戶，登陸時不用密碼，退出時，按ESC，而後"shift+:",輸入小寫的wq,保存並退出。 

登陸wzq用戶，而後用命令「sudo  su -」行使root用戶的權限，從普通用戶直接登陸root用戶。

改爲no不容許root登陸，使用systemctl restart sshd_service,重啓網絡服務。

問題：若是別人拿了個人普通用戶賬號，sudo su - 切換到root就不須要密碼，就能進root用戶。

解決辦法：

設置兩個sudo的規則，一個針對su命令的，其餘針對非su命令的。

原則：

1 設置多個普通用戶，分類，有的能夠sudo到root，有的不能夠

2 對全部普通用戶作審計

這樣就夠了，即便sudo su的也是個別用戶，並非全部。好比，生產環境的服務器上，有運維的、開發的，開發的不能給su權限，運維能夠給。