您当前的位置:首页 > 电脑百科 > 软件技术 > 操作系统 > linux

Linux 命令 su 和 sudo 的区别?

时间:2021-09-30 12:32:03  来源:  作者:Python部落

来源:Jun Tao地址:
https://tanjuntao.github.io/

之前一直对 susudo这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下。

 

1. 准备工作

因为本篇博客中涉及到用户切换,所以我需要提前准备好几个测试用户,方便后续切换。

linux 中新建用户的命令是 useradd,一般系统中这个命令对应的路径都在PATH环境变量里,如果直接输入useradd不管用的话,就用绝对路径名的方式:/usr/sbin/useradd

useradd新建用户命令只有 root 用户才能执行,我们先从普通用户 ubuntu 切换到 root 用户(如何切换后文会介绍):

ubuntu@VM-0-14-ubuntu:~$ su -
Password: # 输入 root 用户登录密码
root@VM-0-14-ubuntu:~# useradd -m test_user # 带上 -m 参数
root@VM-0-14-ubuntu:~# ls /home
test_user ubuntu # 可以看到 /home 目录下面有两个用户了

因为还没有给新建的用户 test_user设置登录密码,这就导致我们无法从普通用户 ubuntu 切换到 test_user,所以接下来,我们需要用 root 来设置 test_user 的登录密码。需要用到passwd命令:

root@VM-0-14-ubuntu:~# passwd test_user
Enter new UNIX password: # 输出 test_user 的密码
Retype new UNIX password:
passwd: password updated successfullyroot@VM-0-14-ubuntu:~#

接着我们输入 exit退出 root 用户到 普通用户 ubuntu:

root@VM-0-14-ubuntu:~# exit
logout
ubuntu@VM-0-14-ubuntu:~$

可以看到,命令提示符前面已经由 root变成ubuntu,说明我们现在的身份是ubuntu用户。

 

2. su 命令介绍及主要用法

首先需要解释下 su代表什么意思。

之前一直以为 susuper user,查阅资料之后才知道原来表示switch user

知道 su是由什么缩写来的之后,那么它提供的功能就显而易见了,就是切换用户

 

2.1 -参数

su的一般使用方法是:

su <user_name>

或者

su - <user_name>

两种方法只差了一个字符 -,会有比较大的差异:

  • 如果加入了 -参数,那么是一种login-shell的方式,意思是说切换到另一个用户 <user_name> 之后,当前的 shell 会加载 <user_name> 对应的环境变量和各种设置;

  • 如果没有加入 -参数,那么是一种non-login-shell的方式,意思是说我现在切换到了 <user_name>,但是当前的 shell 还是加载切换之前的那个用户的环境变量以及各种设置。

光解释会比较抽象,我们看一个例子就比较容易理解了。

我们首先从 ubuntu 用户以 non-login-shell的方式切换到 root 用户,比较两种用户状态下环境变量中PWD的值(su命令不跟任何 <user_name> ,默认切换到 root 用户):

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu
USER=ubuntuPWD=/home/ubuntu # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略......ubuntu@VM-0-14-ubuntu:~$ su # non-login-shell 方式
Password: # 输入 root 用户登录密码root@VM-0-14-ubuntu:/home/ubuntu# env | grep ubuntu
PWD=/home/ubuntu # 可以发现还是 /home/ubuntu
root@VM-0-14-ubuntu:/home/ubuntu#

我们的确是切换到 root 用户了,但是 shell 环境中的变量并没有改变,还是用之前 ubuntu 用户的环境变量。

接着我们从 ubuntu 用户以 login-shell的方式切换到 root 用户,同样比较两种用户转台下环境变量中PWD的值:

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu
USER=ubuntuPWD=/home/ubuntu # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略.......ubuntu@VM-0-14-ubuntu:~$ su - # 是 login-shell 方式
Password:root@VM-0-14-ubuntu:~# env | grep root
USER=rootPWD=/root # 已经变成 /root 了
HOME=/root
MAIL=/var/mail/root
LOGNAME=rootroot@VM-0-14-ubuntu:~#

可以看到用 login-shell的方式切换用户的话,shell 中的环境变量也跟着改变了。

总结:具体使用哪种方式切换用户看个人需求:

  • 如果不想因为切换到另一个用户导致自己在当前用户下的设置不可用,那么用 non-login-shell的方式;

  • 如果切换用户后,需要用到该用户的各种环境变量(不同用户的环境变量设置一般是不同的),那么使用 login-shell的方式。

 

2.2 切换到指定用户

前面已经介绍了,如果 su命令后面不跟任何 <user_name>,那么默认是切换到 root 用户:

ubuntu@VM-0-14-ubuntu:~$ su -
Password: # root 用户的密码
root@VM-0-14-ubuntu:/home/ubuntu#

因为我们在 1. 准备工作部分已经新建了一个 test_user 用户,并且我们也知道 test_user 用户的登录密码(root 用户设置的),我们就能从 ubuntu 用户切换到 test_user 用户:

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password: # test_user 用户的密码
$

 

2.3 -c参数

前面的方法中,我们都是先切换到另一个用户(root 或者 test_user),在哪个用户的状态下执行命令,最后输入 exit返回当前 ubuntu 用户。

还有一种方式是:不需要先切换用户再执行命令,可以直接在当前用户下,以另一个用户的方式执行命令,执行结束后就返回当前用户。这就得用到 -c参数。

另外,Linux 系列面试题和答案全部整理好了,微信搜索JAVA技术栈,在后台发送:面试,可以在线阅读。

具体使用方法是:

su - -c "指令串" # 以 root 的方式执行 "指令串"

我么看个例子:

ubuntu@VM-0-14-ubuntu:~$ cat /etc/shadow
cat: /etc/shadow: Permission denied # ubuntu 用户不能直接查看 /etc/shadow 文件内容ubuntu@VM-0-14-ubuntu:~$ su - -c "tail -n 4 /etc/shadow"
Password: # 输入 root 用户密码ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/:18352:0:99999:7:::
ntp:*:17752:0:99999:7:::
MySQL:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
ubuntu@VM-0-14-ubuntu:~$ # 执行完马上返回 ubuntu 用户而不是 root 用户

这种执行方式和后面要介绍的 sudo很像,都是临时申请一下 root 用户的权限。但还是有差异,我们接着往后看。

 

3. sudo 命令介绍及主要用法

首先还是解释下 sudo命令是什么意思。

sudo的英文全称是super user do,即以超级用户(root 用户)的方式执行命令。这里的sudo和之前su表示的switch user是不同的,这点需要注意,很容易搞混。

我们先介绍 sudo命令能做什么事情,然后说明为何能做到这些,以及如何做到这些。

我们开始。

 

3.1 主要用法

我们在 Linux 中经常会碰到 Permission denied这种情况,比如以 ubuntu 用户的身份查看/etc/shadow的内容。因为这个文件的内容是只有 root 用户能查看的。

那如果我们想要查看怎么办呢?这时候就可以使用 sudo:

ubuntu@VM-0-14-ubuntu:~$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied # 没有权限
ubuntu@VM-0-14-ubuntu:~$ sudo !! # 跟两个惊叹号
sudo tail -n 3 /etc/shadow
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
ubuntu@VM-0-14-ubuntu:~$

实例中,我们使用了 sudo !!这个小技巧,表示重复上面输入的命令,只不过在命令最前面加上sudo

因为我已经设置了 sudo命令不需要输入密码,所以这里sudo !!就能直接输出内容。如果没有设置的话,需要输入当前这个用户的密码,例如本例中,我就应该输入 ubuntu 用户的登录密码。

两次相邻的 sudo操作,如果间隔在5min之内,第二次输入sudo不需要重新输入密码;如果超过5min,那么再输入sudo时,又需要输入密码。所以一个比较省事的方法是设置sudo操作不需要密码。后面介绍如何设置。

sudo除了以 root 用户的权限执行命令外,还有其它几个用法,这里做简单介绍。

切换到 root 用户:

sudo su -

这种方式也能以 login-shell的方式切换到 root 用户,但是它和su -方法是由区别的:

  • 前者输入 sudo su -后,需要提供当前用户的登录密码,也就是 ubuntu 用户的密码;

  • 后者输入 su -后,需要提供 root 用户的登录密码。

还有一个命令:

sudo -i

这个命令和 sudo su -效果一致,也是切换到 root 用户,也是需要提供当前用户(ubuntu 用户)的登录密码。

我们现在切换到 test_user 用户,尝试显示 /etc/shadow文件的内容:

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password: # test_user 的密码
$ sudo cat /etc/shadow
[sudo] password for test_user: # test_user 的密码
test_user is not in the sudoers file. This incident will be reported.
$

我们会看到倒数第二行中的错误提示信息,我们无法查看 /etc/shadow的内容,这是为什么?为什么 ubuntu 可以使用sudo但是 test_user 不行呢?

这就涉及到 sudo的工作原理了。

 

3.2 sudo工作原理

一个用户能否使用 sudo命令,取决于/etc/sudoers文件的设置。

从 3.1 节中我们已经看到,ubuntu 用户可以正常使用 sudo,但是 test_user 用户却无法使用,这是因为/etc/sudoers文件里没有配置 test_user。

/etc/sudoers也是一个文本文件,但是因其有特定的语法,我们不要直接用vim或者vi来编辑它,需要用visudo这个命令。输入这个命令之后就能直接编辑/etc/sudoers这个文件了。

需要说明的是,只有 root 用户有权限使用 visudo命令。

我们先来看下输入 visudo命令后显示的内容。

输入(root 用户):

root@VM-0-14-ubuntu:~# visudo

输出:

# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
ubuntu ALL=(ALL:ALL) NOPASSWD: ALL

解释下每一行的格式:

  • 第一个表示用户名,如 rootubuntu等;

  • 接下来等号左边的 ALL表示允许从任何主机登录当前的用户账户;

  • 等号右边的 ALL表示:这一行行首对一个的用户可以切换到系统中任何一个其它用户;

  • 行尾的 ALL表示:当前行首的用户,能以 root 用户的身份下达什么命令,ALL表示可以下达任何命令。

我们还注意到 ubuntu对应的那一行有个NOPASSWD关键字,这就是表明 ubuntu 这个用户在请求sudo时不需要输入密码,到这里就解释了前面的问题。

同时我们注意到,这个文件里并没有 test_user对应的行,这也就解释了为什么 test_user 无法使用sudo命令。

接下来,我们尝试将 test_user 添加到 /etc/sudoers文件中,使 test_user 也能使用sudo命令。我们在最后一行添加:

test_user ALL=(ALL:ALL) ALL # test_user 使用 sudo 需要提供 test_user 的密码

接下来我们再在 test_user 账户下执行 sudo

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password:
$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied
$ sudo tail -n 3 /etc/shadow # 加上 sudo
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
$

可以看到,现在已经可以使用 sudo了。

 

3.3 思考

我们已经看到了,如果一个用户在 /etc/sudoers文件中,那么它就具有sudo权限,就能通过sudo su -或者sudo -i等命令切换到 root 用户了,那这时这个用户就变成 root 用户了,那这不对系统造成很大的威胁吗?

实际上的确是这样的。所以如果在编辑 /etc/sudoers文件赋予某种用户sudo权限时,必须要确定该用户是可信任的,不会对系统造成恶意破坏,否则将所有 root 权限都赋予该用户将会有非常大的危险。

当然,root 用户也可以编辑 /etc/sudoers使用户只具备一部分权限,即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条,这篇文章不再赘述。另外,Linux 系列面试题和答案全部整理好了,微信搜索Java技术栈,在后台发送:面试,可以在线阅读。

 

4. 二者的差异对比

我们已经看到:

  • 使用 su -,提供 root 账户的密码,可以切换到 root 用户;

  • 使用 sudo su -,提供当前用户的密码,也可以切换到 root 用户

两种方式的差异也显而易见:如果我们的 Linux 系统有很多用户需要使用的话,前者要求所有用户都知道 root 用户的密码,这显然是非常危险的;后者是不需要暴露 root 账户密码的,用户只需要输入自己的账户密码就可以,而且哪些用户可以切换到 root,这完全是受 root 控制的(root 通过设置 /etc/sudoers实现的),这样系统就安全很多了。

References

  • https://www.rootusers.com/the-difference-between-su-and-sudo-commands-in-linux/

  • 《鸟哥的 Linux 私房菜》13.4 节:使用者身份切换

  • https://github.com/ustclug/Linux101-docs/blob/master/docs/Ch05/index.md

  • https://www.maketecheasier.com/differences-between-su-sudo-su-sudo-s-sudo-i/

  • https://stackoverflow.com/questions/35999671/whats-the-difference-between-sudo-i-and-sudo-su?r=SearchResults

  • https://www.zhihu.com/question/51746286

  • https://www.linuxidc.com/Linux/2017-06/144916.htm



Tags:Linux 命令   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
之前一直对 su和sudo这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下。...【详细内容】
2021-09-30  Tags: Linux 命令  点击:(51)  评论:(0)  加入收藏
关机/重启/注销/*即刻关机*/shutdown -h now/*10 min 后关机*/shutdown -h 10/*11:00 关机*/shutdown -h 11:00/*重启*/shutdown -r now/*重启*/reboot 系统信息和性能查看...【详细内容】
2021-07-08  Tags: Linux 命令  点击:(85)  评论:(0)  加入收藏
出处 | 极客时间《趣谈 Linux 操作系统》专栏如果你还没有上手用过 Linux,那么学习《趣谈 Linux 操作系统》,你可能会感受到困惑。因为没有一手的体验,你可能很难将 Linux 的...【详细内容】
2021-02-26  Tags: Linux 命令  点击:(240)  评论:(0)  加入收藏
作为运维人员,这些常用命令不得不会,掌握这些命令,工作上会事半功倍,提供工作效率。一.文件和目录1. cd命令,用于切换当前目录,它的参数是要切换到的目录的路径,可以是绝对路径,也可...【详细内容】
2020-11-11  Tags: Linux 命令  点击:(151)  评论:(0)  加入收藏
作者 | bdcyouth来源 | BDC+开篇词不管你是从事开发还是运维工作,都要懂Linux基本命令,Linux命令是Linux系统正常运行的核心。如果是运维,那Linux命令是必备技能,因为要经常和...【详细内容】
2020-06-28  Tags: Linux 命令  点击:(49)  评论:(0)  加入收藏
引言通常,在编写Bash脚本时,需要在满足特定条件时终止脚本,或者根据命令的退出代码采取措施。在本文中,我们将介绍Bash exit内置命令和已执行命令的退出状态。 退出状态每个shel...【详细内容】
2020-06-10  Tags: Linux 命令  点击:(153)  评论:(0)  加入收藏
命令行 Markdown 工具快速、强大、灵活。以下是 4 个值得试一下的工具。-- Scott Nesbitt(作者) (在 Linux 上)在处理 Markdown 格式的文件时,命令行工具会占据主导地位。它们轻...【详细内容】
2020-03-29  Tags: Linux 命令  点击:(59)  评论:(0)  加入收藏
在这有关 Linux 命令的十大文章中,了解如何使 Linux 发挥所需的作用。-- Moshe Zadka(作者) 很好地使用 Linux 意味着了解有哪些命令以及它们可以为你执行的功能。《在 Linux...【详细内容】
2020-03-19  Tags: Linux 命令  点击:(71)  评论:(0)  加入收藏
Linux 经历这么多个年头了,其中命令越来越多,又加上参数的多种多样,就算是实打实的高手也没有十足的把握能把各种命令运用得炉火纯青,就别说那些初学者了。面对这些复杂难记的命...【详细内容】
2020-03-07  Tags: Linux 命令  点击:(60)  评论:(0)  加入收藏
来自:简书,作者:jagttt链接:http://www.jianshu.com/p/5ca890e5bdbf为你列举一些可能没注意过的好用的 Linux 命令行命令。现在做网站做移动应用最讲究的就是推广了,推广做的好那...【详细内容】
2020-02-29  Tags: Linux 命令  点击:(72)  评论:(0)  加入收藏
▌简易百科推荐
作用显示文件或目录所占用的磁盘空间使用命令格式du [option] 文件/目录命令功能显示文件或目录所占用的磁盘空间一些写法的区别du -sh xxx 显示总目录的大小,但是不会列出...【详细内容】
2021-12-23  mitsuhide1992    Tags:du命令   点击:(12)  评论:(0)  加入收藏
什么是linux内核linux就像是一个哲学的最佳实践。如果非要对它评价,我真的不知道该怎么赞叹,我只能自豪地说着:“linux的美丽简直让人沉醉。”我只能说是我处在linux学习的修炼...【详细内容】
2021-12-23  linux上的码农    Tags:linux内核   点击:(15)  评论:(0)  加入收藏
本文将比较 Linux 中 service 和 systemctl 命令,先分别简单介绍这两个命令的基础用法,然后进行比较。从 CentOS 7.x 开始,CentOS 开始使用 systemd 服务来代替 service服务(dae...【详细内容】
2021-12-23  软件架构    Tags:systemctl   点击:(13)  评论:(0)  加入收藏
mv是move的缩写,可以用来移动文件或者重命名文件名,经常用来备份文件或者目录。命令格式mv [选项] 源文件或者目录 目标文件或者目录命令功能mv命令中第二个参数类型的不同(...【详细内容】
2021-12-17  入门小站    Tags:mv命令   点击:(23)  评论:(0)  加入收藏
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 98篇原创内容 -->公众号 Linux sed 命令是利用脚本来处理文本文件。sed 可依照脚本的指令来处...【详细内容】
2021-12-17  仙风道骨的宝石骑士    Tags:sed命令   点击:(21)  评论:(0)  加入收藏
Node是个啥?  写个东西还是尽量面面俱到吧,所以有关基本概念的东西我也从网上选择性地拿了下来,有些地方针对自己的理解有所改动,对这些概念性的东西有过了解的可选择跳过这段...【详细内容】
2021-12-15  linux上的码农    Tags:node   点击:(21)  评论:(0)  加入收藏
难道只有我一个人觉得Ubuntu的unity桌面非常好用吗?最近把台式机上面的Ubuntu 16.04格式化了,装了黑苹果用了一周,不得不说,MacOS确实很精美,软件生态比Linux丰富很多,比Windows简...【详细内容】
2021-12-14  地球末日村    Tags:ubuntu   点击:(34)  评论:(0)  加入收藏
简介Netstat 命令用于显示各种网络相关信息,如网络连接,路由表,接口状态 (Interface Statistics),masquerade 连接,多播成员 (Multicast Memberships) 等等。输出信息含义执行net...【详细内容】
2021-12-13  窥镜天    Tags:Linux netstat   点击:(26)  评论:(0)  加入收藏
对于较多数量的文件描述符的监听无论是select还是poll系统调用都显得捉襟见肘,poll每次都需要将所有的文件描述符复制到内核,内核本身不会对这些文件描述符加以保存,这样的设计...【详细内容】
2021-12-13  深度Linux    Tags:Linux   点击:(16)  评论:(0)  加入收藏
今天,我们来了解下 Linux 系统的革命性通用执行引擎-eBPF,之所以聊着玩意,因为它确实牛逼,作为一项底层技术,在现在的云原生生态领域中起着举足轻重的作用。截至目前,业界使用范...【详细内容】
2021-12-10  架构驿站    Tags:eBPF   点击:(24)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条