linux權限之su和sudo的差別
我們都知道非常多的文件都僅僅有root有權限來改動,那麽在我們平時的開發過程中都建議使用一般賬號來登錄進行開發。還記得前面說到的ssh嗎。我們也是將同意root登錄設置成no。到必要的時候再切換到root來進行操作,這樣就不至於有風險。
那麽我們怎樣切換身份呢。
1.su
su是最簡單的身份切換名,用su我們能夠進行不論什麽用戶的切換,一般都是su - username,然後輸入password就ok了,可是root用su切換到其它身份的時候是不須要輸入password的。起初我都是用su來切換的,後來老大看見了說我這樣的方式切換是不好的。你能夠嘗試其它的方式來切換。我認為這樣切換非常方便啊,那究竟是不好在哪裏呢。後面再看另外一種身份的切換方式就知道了。
一般我們切換身份都是切換到root,然後進行一些僅僅有root能幹的事,比方改動配置文件。比方下載安裝軟件。這些都僅僅能是root才有權限幹的事。切換到root能夠是單純的su,或者是su -和su - root,後面兩個是一樣的意思。
單純使用su切換到root,讀取變量的方式是non-login shell,這樣的方式下非常多的變量都不會改變。尤其是PATH。所以root用的非常多的命令都僅僅能用絕對路徑來運行。這樣的方式僅僅是切換到root的身份。
而用su -這樣的方式的話,是login shell方式,它是先以root身份登錄然後再運行別的操作。
假設我們僅僅要切換到root做一次操作就好了,僅僅要在su後面加個-c參數就好了。運行完這次操作後。又會自己主動切換回我們自己的身份。非常方便。
那麽假設有非常多人管理這個主機的話,那不是非常多人都要知道root的password嗎,並且可能有的人僅僅是單純的進行一次root操作就能夠了,這個時候,su方式就不是非常好,rootpassword越少人知道越好,越少人知道就越安全,這時就須要另外一種方式了。
2.sudo
相比於su切換身份須要用戶的password,常常性的是須要rootpassword,sudo僅僅是須要自己的password,就能夠以其它用戶的身份來運行命令。常常是以root的身份運行命令。也並不是全部人都能夠用sudo:
這裏我要查看/etc/shadow這個文件的前三行,可是卻發現看不了,提示的錯誤是說我當前這個用戶不在sudoers這個文件,所以sudo是依賴於/etc/sudoers這個配置文件的。
sudo的運行有這樣一個流程:
1).當用戶運行sudo時,系統於/etc/sudoers文件裏查找該用戶是否有運行sudo的權限;
2).若用戶具有可運行sudo的權限。那麽讓用戶輸入用戶自己的password,註意這裏輸入的是用戶自己的password。
3).假設password正確。變開始進行sudo後面的命令,root運行sudo是不須要輸入password的,切換到的身份與運行者身份同樣的時候。也不須要輸入password。
以下看看/etc/sudoers這個配置文件:
為何剛開始僅僅有root能運行sudo,切換到root身份通過visudo查看/etc/sudoers這個配置文件,假設是vim /etc/sudoers是能夠查看的,可是不能改動,由於sudoers這個文件是由語法的,僅僅能通過visudo來改動。第一個紅色方框那行代碼,這行代碼是什麽意思呢。第一列root不用多說,是用戶賬號,第二列的ALL意思是登陸者的來源主機名,第三列等號右邊小括號裏的ALL是代表能夠切換的身份。第四列ALL是可運行的命令。
1).單個用戶的sudoers語法:
假設我要我當前這個用戶能運行root的全部操作,那麽我僅僅要加一行learnpython ALL=(ALL) ALL。那麽假設有非常多人須要運行sudo。那不是要寫編寫非常多行啊,這樣不是非常麻煩,這樣就要用到用戶組了。
2).利用用戶組處理visudo:
看看第二個紅色方框那行代碼。%wheel代表wheel用戶組。假設我們將須要運行root全部操作的用戶都加入到wheel用戶組,或者我們自己定義的用戶組。然後加入一行代碼。那麽就不用一個用戶一個用戶的加入進來了,這樣不是非常省事啊。
3).限制用戶sudo的權限:
可是常常我們不須要用戶有那麽大的權限。僅僅要讓他們具有他們負責範圍的權限就能夠了。比方有的有的人來管理password,我們就僅僅讓他能進行password的管理,而不讓他有別的權限,這樣就須要權限的控制了。
假設我讓我當前用戶來管理password。即learnpython這個用戶能使用passwd這個命令來幫root改動用戶password。僅僅要加這行learnpython ALL=(root) /usr/bin/passwd,那麽learnpython這個用戶就能夠使用passwd這個命令了:
可是假設僅僅是運行sudo passwd命令,改動的就是root的password,當然我們不希望普通用戶能具有改動rootpassword的權限,那麽在visudo的時候就須要將命令的參數限制好。如改成這樣:
[[email protected] ~]# visudo learnpython ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4).通過別名設置visudo
查看sudoers這個文件的時候。你會看見User_Alias。Host_Alias和Cmnd_Alias這些東西,他們都是一些別名,User_Alias表示具有sudo權限的用戶列表,就是第一列參數。Host_Alias表示主機的列表。就是第二列參數。Cmnd_Alias表示同意運行命令的列表,就是第四列參數。還有個Runas_Alias。我初始的sudoers裏是沒有的,這個表示用戶以什麽身份登錄。也就是第三列參數。
所以假設有幾個password管理員的話就能夠加上例如以下代碼:
[[email protected] ~]# visudo User_Alias PWMNG = manager1, manager2, manager3 Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root PWMNG ALL=(root) PWCMD
5).sudo搭配su
從上面來看。我們都僅僅是切換到別的用戶然後運行命令,接著就切回到我們自己的用戶了。假設我們要像su那樣直接切換到root。然後幹自己想幹的。這個時候,就要將命令改動成/bin/su -。例如以下:
[[email protected] ~]# visudo User_Alias ADMINS = user1, user2, user3 ADMINS ALL=(root) /bin/su -
當然這個是須要謹慎了,由於這樣用戶user1。user2,user3等就直接切換到root了,切換後他們就是老大了。
有沒有發現,當我們連續使用sudo的時候,在一定時間內是不用再次輸入我們的password,這個事實上是系統自己設定的,在五分鐘之內運行sudo僅僅須要輸入一次password就能夠了。
3.總結
了解完su和sudo,是不是發現sudo有太多的優點了。su方式切換是須要輸入目標用戶的password。而sudo僅僅須要輸入自己的password,所以sudo能夠保護目標用戶的password不外流的。當幫root管理系統的時候,su是直接將root全部權利交給用戶。而sudo能夠更好分工,僅僅要配置好/etc/sudoers,這樣sudo能夠保護系統更安全,並且分工明白,有條不紊。
linux權限之su和sudo的差別