我們都知道非常多的檔案都僅僅有root有許可權來改動，那麼在我們平時的開發過程中都建議使用一般賬號來登入進行開發。還記得前面說到的ssh嗎。我們也是將同意root登入設定成no。到必要的時候再切換到root來進行操作，這樣就不至於有風險。

那麼我們怎樣切換身份呢。

1.su

        su是最簡單的身份切換名，用su我們能夠進行不論什麼使用者的切換，一般都是su - username，然後輸入password就ok了，可是root用su切換到其它身份的時候是不須要輸入password的。起初我都是用su來切換的，後來老大看見了說我這樣的方式切換是不好的。你能夠嘗試其它的方式來切換。我認為這樣切換非常方便啊，那究竟是不好在哪裡呢。後面再看另外一種身份的切換方式就知道了。

        一般我們切換身份都是切換到root，然後進行一些僅僅有root能幹的事，比方改動配置檔案。比方下載安裝軟體。這些都僅僅能是root才有許可權乾的事。切換到root能夠是單純的su，或者是su -和su - root，後面兩個是一樣的意思。

        單純使用su切換到root，讀取變數的方式是non-login shell，這樣的方式下非常多的變數都不會改變。尤其是PATH。所以root用的非常多的命令都僅僅能用絕對路徑來執行。這樣的方式僅僅是切換到root的身份。

而用su -這樣的方式的話，是login shell方式，它是先以root身份登入然後再執行別的操作。

        假設我們僅僅要切換到root做一次操作就好了，僅僅要在su後面加個-c引數就好了。執行完這次操作後。又會自己主動切換回我們自己的身份。非常方便。

        那麼假設有非常多人管理這個主機的話，那不是非常多人都要知道root的password嗎，並且可能有的人僅僅是單純的進行一次root操作就能夠了，這個時候，su方式就不是非常好，rootpassword越少人知道越好，越少人知道就越安全，這時就須要另外一種方式了。

2.sudo

        相比於su切換身份須要使用者的password，常常性的是須要rootpassword，sudo僅僅是須要自己的password，就能夠以其它使用者的身份來執行命令。常常是以root的身份執行命令。也並不是全部人都能夠用sudo：

        這裡我要檢視/etc/shadow這個檔案的前三行，可是卻發現看不了，提示的錯誤是說我當前這個使用者不在sudoers這個檔案，所以sudo是依賴於/etc/sudoers這個配置檔案的。

sudo的執行有這樣一個流程：

        1).當用戶執行sudo時，系統於/etc/sudoers檔案裡查詢該使用者是否有執行sudo的許可權；

        2).若使用者具有可執行sudo的許可權。那麼讓使用者輸入使用者自己的password，注意這裡輸入的是使用者自己的password。

        3).假設password正確。變開始進行sudo後面的命令，root執行sudo是不須要輸入password的，切換到的身份與執行者身份同樣的時候。也不須要輸入password。

        以下看看/etc/sudoers這個配置檔案：

        為何剛開始僅僅有root能執行sudo，切換到root身份通過visudo檢視/etc/sudoers這個配置檔案，假設是vim /etc/sudoers是能夠檢視的，可是不能改動，由於sudoers這個檔案是由語法的，僅僅能通過visudo來改動。第一個紅色方框那行程式碼，這行程式碼是什麼意思呢。第一列root不用多說，是使用者賬號，第二列的ALL意思是登陸者的來源主機名，第三列等號右邊小括號裡的ALL是代表能夠切換的身份。第四列ALL是可執行的命令。

        1).單個使用者的sudoers語法：

        假設我要我當前這個使用者能執行root的全部操作，那麼我僅僅要加一行learnpython ALL=(ALL) ALL。那麼假設有非常多人須要執行sudo。那不是要寫編寫非常多行啊，這樣不是非常麻煩，這樣就要用到使用者組了。

        2).利用使用者組處理visudo：

        看看第二個紅色方框那行程式碼。%wheel代表wheel使用者組。假設我們將須要執行root全部操作的使用者都加入到wheel使用者組，或者我們自己定義的使用者組。然後加入一行程式碼。那麼就不用一個使用者一個使用者的加入進來了，這樣不是非常省事啊。

        3).限制使用者sudo的許可權：

        可是常常我們不須要使用者有那麼大的許可權。僅僅要讓他們具有他們負責範圍的許可權就能夠了。比方有的有的人來管理password，我們就僅僅讓他能進行password的管理，而不讓他有別的許可權，這樣就須要許可權的控制了。

假設我讓我當前使用者來管理password。即learnpython這個使用者能使用passwd這個命令來幫root改動使用者password。僅僅要加這行learnpython ALL=(root) /usr/bin/passwd，那麼learnpython這個使用者就能夠使用passwd這個命令了：

        可是假設僅僅是執行sudo passwd命令，改動的就是root的password，當然我們不希望普通使用者能具有改動rootpassword的許可權，那麼在visudo的時候就須要將命令的引數限制好。如改成這樣：

[[email protected] ~]# visudo
learnpython    ALL=(root)    !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

        4).通過別名設定visudo

        檢視sudoers這個檔案的時候。你會看見User_Alias。Host_Alias和Cmnd_Alias這些東西，他們都是一些別名，User_Alias表示具有sudo許可權的使用者列表，就是第一列引數。Host_Alias表示主機的列表。就是第二列引數。Cmnd_Alias表示同意執行命令的列表，就是第四列引數。還有個Runas_Alias。我初始的sudoers裡是沒有的，這個表示使用者以什麼身份登入。也就是第三列引數。

        所以假設有幾個password管理員的話就能夠加上例如以下程式碼：

[[email protected] ~]# visudo
User_Alias PWMNG = manager1, manager2, manager3
Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
PWMNG    ALL=(root)    PWCMD

        5).sudo搭配su

        從上面來看。我們都僅僅是切換到別的使用者然後執行命令，接著就切回到我們自己的使用者了。假設我們要像su那樣直接切換到root。然後幹自己想幹的。這個時候，就要將命令改動成/bin/su -。例如以下：

[[email protected] ~]# visudo
User_Alias ADMINS = user1, user2, user3
ADMINS    ALL=(root)    /bin/su -

        當然這個是須要謹慎了，由於這樣使用者user1。user2，user3等就直接切換到root了，切換後他們就是老大了。

        有沒有發現，當我們連續使用sudo的時候，在一定時間內是不用再次輸入我們的password，這個事實上是系統自己設定的，在五分鐘之內執行sudo僅僅須要輸入一次password就能夠了。

3.總結

        瞭解完su和sudo，是不是發現sudo有太多的優點了。su方式切換是須要輸入目標使用者的password。而sudo僅僅須要輸入自己的password，所以sudo能夠保護目標使用者的password不外流的。當幫root管理系統的時候，su是直接將root全部權利交給使用者。而sudo能夠更好分工，僅僅要配置好/etc/sudoers，這樣sudo能夠保護系統更安全，並且分工明白，有條不紊。