您当前的位置:首页 > 电脑百科 > 软件技术 > 操作系统 > linux

Linux su和sudo

时间:2021-12-07 10:08:55  来源:  作者:知书达理的旺财

su和sudo这两个命令是linux运维必须要会的,通常在生产环境中都是使用普通帐号来登录,再使用su或sudo来执行一些管理命令。

su命令

su:run a shell with substitute user and group ids

-,-l,--login 切换后使用指定用户的的shell。

[root@ns2 ~]# su - user4
[user4@ns2 ~]$ // 这里的shell环境是user4的
[user4@ns2 ~]$ exit
logout
[root@ns2 ~]# su -l user4
[user4@ns2 ~]$
[user4@ns2 ~]$ exit
logout
[root@ns2 ~]#

-c,--command=COMMAND 可以在不切换当前shell的情况下,用指定的用户来执行一个命令;

[root@ns2 ~]# su user4 -c 'whoami'
user4
[root@ns2 ~]#

如果在su的时候没有加”-“或“-l”或“--login”那么默认的会使用当前用户的shell来执行

sudo命令

sudo的配置文件是:/etc/sudoers,该文件可以定义哪个用户可以在哪个机器上以哪个用户的身份来执行哪些命令;

在配置sudo时必须使用visudo来编辑配置文件,因为使用visudo可以检查修改后的文件的语法是否正确;

who where=(run_as) /path/to/command1,…

可以将上面的配置行分成四部分:part1 part2 part3 part4

  • part1:表示哪个用户
  • part2:表示运行该sudo命令的机器,也就是用户执行命令的机器;可以使用ALL来匹配所有;
  • part3:表示该用户要切换到的目标用户;
  • part4:表示要执行的命令;这里的命令必须使用绝对路径,如果只指定了一个目录的话,那么该用户就可以执行该目录下的所有的文件;

例如:

xfzhou 192.168.1.0/24=(root) /usr/sbin/useradd,/usr/sbin/usermod
xfzhou ALL=(root) /usr/sbin/setup

那么如果用户的数量过多的时候是不是要为每个用户来创建一个条目呢,很显示这样做是不科学的。所以sudo就引入了别名的概念,其实和组也差不多;

sudoers中定义了四种alias:

  • User_Alias
  • Runas_Alias
  • Host_Alias
  • Cmnd_Alias

alias定义的语法:

Alias_Type NAME = item1,item2,…

要注意的是,这个Alias的名称一定要大写;

User_Alias ADMIN = user1,%user2

user1是一个用户,user2是一个组,所以user2的前面要加上%

Host_Alias PERMIT = www.xfzhou.com,192.168.10.40,192.168.20.0/24

可以使用主机名,IP地址,网段(网段的掩码可以写成255.255.255.0,也可以写成/24)

Cmnd_Alias CREATEUSER = /usr/sbin/useradd,/user/sbin/usermod

命令必须使用绝对路径。如果只指定了一个目录,那么用户就可以执行该目录下的所有的文件;上面的“=”右边的都可以使用“!”来取反。表示除了xxx以外;

例子:请允许user1,user2,user3在192.168.20.44和192.168.10.0/24网段的机器上使用sudo切换到root用户来执行useradd和setup命令;

#test for sudo
User_Alias TEST_USERS = user1,user2,user3
Host_Alias PERMIT_HOST = 192.168.10.0/24,192.168.20.44
Cmnd_Alias CREATEUSER = /usr/sbin/useradd,/usr/sbin/setup
TEST_USERS PERMIT_HOST=(root) CREATEUSER

然后就可以使用user1,user2,user3这三个用户去测试了;

普通用户查看自己可以使用的sudo命令:

[user1@ns2 ~]$ sudo -l
Matching Defaults entries for user1 on this host:
requiretty, !visiblepw, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS MAIL PS1 PS2
QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME
LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Runas and Command-specific defaults for user1:
User user1 may run the following commands on this host:
(root) /usr/sbin/useradd, /usr/sbin/setup
[user1@ns2 ~]$

注意:当用户第一次执行sudo命令的时候是需要用户输入自己的密码的。当第一次输入正确后,这个密码就会被缓存5分钟,在5分钟内用户再次使用sudo来切换身份执行命令的时候就不需要再次输入自己的密码。

这样呢有些时候会有一个安全隐患,所以为了去掉这个5分钟,可以在使用sudo命令的时候加上“-k”参数,这样用户在每次执行sudo命令的时候都会让用户输入自己的密码。

sudo无密码执行命令

如果想让某个用户在执行sudo的时候不需要输入自己的密码,那么可以在命令的前面添加NOPASSWD。/etc/sudoers的内容如下:

#test for sudo
User_Alias TEST_USERS = user1,user2,user3
Host_Alias PERMIT_HOST = 192.168.10.0/24,192.168.20.44
Cmnd_Alias CREATEUSER = /usr/sbin/useradd,/usr/sbin/setup
TEST_USERS PERMIT_HOST=(root) NOPASSWD:CREATEUSER

这样的话,user1,user2,user3这三个用户在执行指定的命令的时候就不需要输入自己的密码了。

如果其中的命令有的需要输入密码,有的不需要输入密码的话,那就把PASSWD:写在那些命令的前面。或是把NOPASSWD:写在最后一个命令中;

user1 192.168.10.44=(root) NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod

例子:让用户user4使用passwd来管理用户的密码,但是不能给root用户设置密码:

user4 ALL=(root) /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

注意:如果最后不加上!/usr/bin/passwd root的话,那么会有很大的漏洞,user4可以修改root用户的密码;当添加上后,user4再次执行sudo passwd root的时候就会提示:

[user4@ns2 ~]$ sudo passwd root
[sudo] password for user4:
Sorry, user user4 is not allowed to execute '/usr/bin/passwd root' as root on ns2.xfzhou.com.
[user4@ns2 ~]$


Tags:Linux   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Tags: Linux  点击:(2)  评论:(0)  加入收藏
作用显示文件或目录所占用的磁盘空间使用命令格式du [option] 文件/目录命令功能显示文件或目录所占用的磁盘空间一些写法的区别du -sh xxx 显示总目录的大小,但是不会列出...【详细内容】
2021-12-23  Tags: Linux  点击:(12)  评论:(0)  加入收藏
什么是linux内核linux就像是一个哲学的最佳实践。如果非要对它评价,我真的不知道该怎么赞叹,我只能自豪地说着:“linux的美丽简直让人沉醉。”我只能说是我处在linux学习的修炼...【详细内容】
2021-12-23  Tags: Linux  点击:(15)  评论:(0)  加入收藏
本文将比较 Linux 中 service 和 systemctl 命令,先分别简单介绍这两个命令的基础用法,然后进行比较。从 CentOS 7.x 开始,CentOS 开始使用 systemd 服务来代替 service服务(dae...【详细内容】
2021-12-23  Tags: Linux  点击:(13)  评论:(0)  加入收藏
以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过。1、设置复杂密码服务器设置大写、小写、特殊字符、数字...【详细内容】
2021-12-20  Tags: Linux  点击:(7)  评论:(0)  加入收藏
mv是move的缩写,可以用来移动文件或者重命名文件名,经常用来备份文件或者目录。命令格式mv [选项] 源文件或者目录 目标文件或者目录命令功能mv命令中第二个参数类型的不同(...【详细内容】
2021-12-17  Tags: Linux  点击:(23)  评论:(0)  加入收藏
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 98篇原创内容 -->公众号 Linux sed 命令是利用脚本来处理文本文件。sed 可依照脚本的指令来处...【详细内容】
2021-12-17  Tags: Linux  点击:(21)  评论:(0)  加入收藏
概述我们知道SQL Server是微软公司推出的重要的数据库产品,通常情况下只支持部署在windows平台上。不过令人感到兴奋的是,从SQL Server 2017开始支持 linux系统。此 SQL Serve...【详细内容】
2021-12-17  Tags: Linux  点击:(13)  评论:(0)  加入收藏
Node是个啥?  写个东西还是尽量面面俱到吧,所以有关基本概念的东西我也从网上选择性地拿了下来,有些地方针对自己的理解有所改动,对这些概念性的东西有过了解的可选择跳过这段...【详细内容】
2021-12-15  Tags: Linux  点击:(21)  评论:(0)  加入收藏
简介Netstat 命令用于显示各种网络相关信息,如网络连接,路由表,接口状态 (Interface Statistics),masquerade 连接,多播成员 (Multicast Memberships) 等等。输出信息含义执行net...【详细内容】
2021-12-13  Tags: Linux  点击:(26)  评论:(0)  加入收藏
▌简易百科推荐
作用显示文件或目录所占用的磁盘空间使用命令格式du [option] 文件/目录命令功能显示文件或目录所占用的磁盘空间一些写法的区别du -sh xxx 显示总目录的大小,但是不会列出...【详细内容】
2021-12-23  mitsuhide1992    Tags:du命令   点击:(12)  评论:(0)  加入收藏
什么是linux内核linux就像是一个哲学的最佳实践。如果非要对它评价,我真的不知道该怎么赞叹,我只能自豪地说着:“linux的美丽简直让人沉醉。”我只能说是我处在linux学习的修炼...【详细内容】
2021-12-23  linux上的码农    Tags:linux内核   点击:(15)  评论:(0)  加入收藏
本文将比较 Linux 中 service 和 systemctl 命令,先分别简单介绍这两个命令的基础用法,然后进行比较。从 CentOS 7.x 开始,CentOS 开始使用 systemd 服务来代替 service服务(dae...【详细内容】
2021-12-23  软件架构    Tags:systemctl   点击:(13)  评论:(0)  加入收藏
mv是move的缩写,可以用来移动文件或者重命名文件名,经常用来备份文件或者目录。命令格式mv [选项] 源文件或者目录 目标文件或者目录命令功能mv命令中第二个参数类型的不同(...【详细内容】
2021-12-17  入门小站    Tags:mv命令   点击:(23)  评论:(0)  加入收藏
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 98篇原创内容 -->公众号 Linux sed 命令是利用脚本来处理文本文件。sed 可依照脚本的指令来处...【详细内容】
2021-12-17  仙风道骨的宝石骑士    Tags:sed命令   点击:(21)  评论:(0)  加入收藏
Node是个啥?  写个东西还是尽量面面俱到吧,所以有关基本概念的东西我也从网上选择性地拿了下来,有些地方针对自己的理解有所改动,对这些概念性的东西有过了解的可选择跳过这段...【详细内容】
2021-12-15  linux上的码农    Tags:node   点击:(21)  评论:(0)  加入收藏
难道只有我一个人觉得Ubuntu的unity桌面非常好用吗?最近把台式机上面的Ubuntu 16.04格式化了,装了黑苹果用了一周,不得不说,MacOS确实很精美,软件生态比Linux丰富很多,比Windows简...【详细内容】
2021-12-14  地球末日村    Tags:ubuntu   点击:(34)  评论:(0)  加入收藏
简介Netstat 命令用于显示各种网络相关信息,如网络连接,路由表,接口状态 (Interface Statistics),masquerade 连接,多播成员 (Multicast Memberships) 等等。输出信息含义执行net...【详细内容】
2021-12-13  窥镜天    Tags:Linux netstat   点击:(26)  评论:(0)  加入收藏
对于较多数量的文件描述符的监听无论是select还是poll系统调用都显得捉襟见肘,poll每次都需要将所有的文件描述符复制到内核,内核本身不会对这些文件描述符加以保存,这样的设计...【详细内容】
2021-12-13  深度Linux    Tags:Linux   点击:(16)  评论:(0)  加入收藏
今天,我们来了解下 Linux 系统的革命性通用执行引擎-eBPF,之所以聊着玩意,因为它确实牛逼,作为一项底层技术,在现在的云原生生态领域中起着举足轻重的作用。截至目前,业界使用范...【详细内容】
2021-12-10  架构驿站    Tags:eBPF   点击:(24)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条