linux權限之su和sudo的差異

        咱們都知道很是多的文件都僅僅有root有權限來改動，那麼在咱們平時的開發過程當中都建議使用通常帳號來登陸進行開發。還記得前面說到的ssh嗎。咱們也是將贊成root登陸設置成no。到必要的時候再切換到root來進行操做，這樣就不至於有風險。

那麼咱們怎樣切換身份呢。

1.su

        su是最簡單的身份切換名，用su咱們可以進行不論什麼用戶的切換，通常都是su - username，而後輸入password就ok了，但是root用su切換到其它身份的時候是不需要輸入password的。起初我都是用su來切換的，後來老大看見了說我這樣的方式切換是很差的。你可以嘗試其它的方式來切換。我認爲這樣切換很是方便啊，那到底是很差在哪裏呢。後面再看另一種身份的切換方式就知道了。

        通常咱們切換身份都是切換到root，而後進行一些僅僅有root能幹的事，比方改動配置文件。比方下載安裝軟件。這些都僅僅能是root纔有權限乾的事。切換到root可以是單純的su，或者是su -和su - root，後面兩個是同樣的意思。

        單純使用su切換到root，讀取變量的方式是non-login shell，這樣的方式下很是多的變量都不會改變。尤爲是PATH。因此root用的很是多的命令都僅僅能用絕對路徑來運行。這樣的方式僅僅是切換到root的身份。

而用su -這樣的方式的話，是login shell方式，它是先以root身份登陸而後再運行別的操做。

        假設咱們僅僅要切換到root作一次操做就行了，僅僅要在su後面加個-c參數就行了。運行完此次操做後。又會本身主動切換回咱們本身的身份。很是方便。

        那麼假設有很是多人管理這個主機的話，那不是很是多人都要知道root的password嗎，而且可能有的人僅僅是單純的進行一次root操做就可以了，這個時候，su方式就不是很是好，rootpassword越少人知道越好，越少人知道就越安全，這時就需要另一種方式了。

2.sudo

        相比於su切換身份需要用戶的password，經常性的是需要rootpassword，sudo僅僅是需要本身的password，就可以以其它用戶的身份來運行命令。經常是以root的身份運行命令。也並非所有人都可以用sudo：

        這裏我要查看/etc/shadow這個文件的前三行，但是卻發現看不了，提示的錯誤是說我當前這個用戶不在sudoers這個文件，因此sudo是依賴於/etc/sudoers這個配置文件的。

sudo的運行有這樣一個流程：

        1).當用戶運行sudo時，系統於/etc/sudoers文件裏查找該用戶是否有運行sudo的權限；

        2).若用戶具備可運行sudo的權限。那麼讓用戶輸入用戶本身的password，注意這裏輸入的是用戶本身的password。

        3).假設password正確。變開始進行sudo後面的命令，root運行sudo是不需要輸入password的，切換到的身份與運行者身份一樣的時候。也不需要輸入password。

        如下看看/etc/sudoers這個配置文件：

        爲什麼剛開始僅僅有root能運行sudo，切換到root身份經過visudo查看/etc/sudoers這個配置文件，假設是vim /etc/sudoers是可以查看的，但是不能改動，因爲sudoers這個文件是由語法的，僅僅能經過visudo來改動。第一個紅色方框那行代碼，這行代碼是什麼意思呢。第一列root不用多說，是用戶帳號，第二列的ALL意思是登錄者的來源主機名，第三列等號右邊小括號裏的ALL是表明可以切換的身份。第四列ALL是可運行的命令。

        1).單個用戶的sudoers語法：

        假設我要我當前這個用戶能運行root的所有操做，那麼我僅僅要加一行learnpython ALL=(ALL) ALL。那麼假設有很是多人需要運行sudo。那不是要寫編寫很是多行啊，這樣不是很是麻煩，這樣就要用到用戶組了。

        2).利用用戶組處理visudo：

        看看第二個紅色方框那行代碼。%wheel表明wheel用戶組。假設咱們將需要運行root所有操做的用戶都加入到wheel用戶組，或者咱們本身定義的用戶組。而後加入一行代碼。那麼就不用一個用戶一個用戶的加入進來了，這樣不是很是省事啊。

        3).限制用戶sudo的權限：

        但是經常咱們不需要用戶有那麼大的權限。僅僅要讓他們具備他們負責範圍的權限就可以了。比方有的有的人來管理password，咱們就僅僅讓他能進行password的管理，而不讓他有別的權限，這樣就需要權限的控制了。

假設我讓我當前用戶來管理password。即learnpython這個用戶能使用passwd這個命令來幫root改動用戶password。僅僅要加這行learnpython ALL=(root) /usr/bin/passwd，那麼learnpython這個用戶就可以使用passwd這個命令了：

        但是假設僅僅是運行sudo passwd命令，改動的就是root的password，固然咱們不但願普通用戶能具備改動rootpassword的權限，那麼在visudo的時候就需要將命令的參數限制好。如改爲這樣：

[root@localhost ~]# visudo
learnpython    ALL=(root)    !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

        4).經過別名設置visudo

        查看sudoers這個文件的時候。你會看見User_Alias。Host_Alias和Cmnd_Alias這些東西，他們都是一些別名，User_Alias表示具備sudo權限的用戶列表，就是第一列參數。Host_Alias表示主機的列表。就是第二列參數。Cmnd_Alias表示贊成運行命令的列表，就是第四列參數。還有個Runas_Alias。我初始的sudoers裏是沒有的，這個表示用戶以什麼身份登陸。也就是第三列參數。

        因此假設有幾個password管理員的話就可以加上例如如下代碼：

[root@localhost ~]# visudo
User_Alias PWMNG = manager1, manager2, manager3
Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
PWMNG    ALL=(root)    PWCMD

        5).sudo搭配su

        從上面來看。咱們都僅僅是切換到別的用戶而後運行命令，接着就切回到咱們本身的用戶了。假設咱們要像su那樣直接切換到root。而後幹本身想幹的。這個時候，就要將命令改動成/bin/su -。例如如下：

[root@localhost ~]# visudo
User_Alias ADMINS = user1, user2, user3
ADMINS    ALL=(root)    /bin/su -

        固然這個是需要謹慎了，因爲這樣用戶user1。user2，user3等就直接切換到root了，切換後他們就是老大了。

        有沒有發現，當咱們連續使用sudo的時候，在必定時間內是不用再次輸入咱們的password，這個事實上是系統本身設定的，在五分鐘以內運行sudo僅僅需要輸入一次password就可以了。

3.總結

        瞭解完su和sudo，是否是發現sudo有太多的優勢了。su方式切換是需要輸入目標用戶的password。而sudo僅僅需要輸入本身的password，因此sudo可以保護目標用戶的password不外流的。當幫root管理系統的時候，su是直接將root所有權利交給用戶。而sudo可以更好分工，僅僅要配置好/etc/sudoers，這樣sudo可以保護系統更安全，而且分工明白，有條不紊。