Linux 下的su与sudo命令你以为你会用了？

1 su:切换用户

1.1 背景说明

在Linux中有多个用户，比如root、master、worker等,那我想从一个用户切换到另一个用户如何切换呢？比如登录master用户后，突然想去切换到worker用户执行一个命令，操作一个worker用户下的文件。这个时候切换用户有多个方法

• 退出当前用户，然后登录到worker用户
• 第二个就是通过su命令进行切换

1.2 命令格式

su 切换用户
# 例如从root用户切换为master用户
[root@test /]$ su master 

2 sudo：以其他用户的身份执行命令

2.1 命令出现原因

su 的确为用户切换带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他都能切换到root来完成所有的系统管理工作；

但通过su切换到root后，也有不安全因素；
比如系统有10个用户，而且都参与管理。
如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root权限密码都告诉这10个用户；

如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协。
因此sudo产生了。

sudo可以在不切换用户的情况下以其他用户的身份执行命令。

2.2 命令参数详解

-V 显示版本编号

-h 会显示版本编号及指令的使用方式说明

-l 显示出自己（执行 sudo 的使用者）的权限

-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码

-k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）

-b 将要执行的指令放在背景执行

-p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称

-u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）

-s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell

-H 将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是系统管理者 root ）

command 要以系统管理者身份（或以 -u 更改为其他人）执行的指令

2.3 命令使用

问：如何使用命令呢？

答：那就要有以下2步：

• 配置文件
• 授权用户

详解：

说完了sudo命令的作用，那如果我想使用sudo特殊权限命令该如何使用？

其中就要去配置一下这个文件：/etc/sudoers

[root@test ~]$ ls -al /etc/sudoers
-r--r----- 1 root root 4027 Aug 16 10:43 /etc/sudoers

如何编辑这个文件呢？（有的同学会说使用vi即可。这个也是一种方法）

以下推荐两种方式编辑配置文件

1. (不推荐)vi /etc/sudoers 使用vi要注意，我们看到该文件是只读的，所以这里要首先授权可写才可以编辑

   [root@test ~]$ chmod u+w /etc/sudoers
   [root@test ~]$ vi /etc/sudoers
   [root@test ~]$ chmod u-w /etc/sudoers
   

2. (推荐)visudo命令：该命令可以直接打开编辑

   [root@test ~]$ visudo
   

测试场景1：

授权命令这里以worker用户为例，对worker用户授权命令/sbin/shutdown -c

1. 未授权之前，在worker用户下执行命令：

[worker@linux1 ~]$ shutdown -c
Failed to talk to shutdownd, shutdown hasn't been cancelled: Permission denied

2. 使用visudo（root用户下）编辑软件授权：添加如下两行
   授权用户/组 主机名=（允许转换至的用户） NOPASSWD:命令动作
   master ALL=(ALL) NOPASSWD:ALL

## Allows members of the users group to mount and unmount the
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
#授权用户/组    主机名=（允许转换至的用户）     NOPASSWD:命令动作
master    ALL=(ALL)       NOPASSWD:ALL
worker    ALL=(master)    /sbin/shutdown -c,/bin/sudo
# 不需要密码
# worker    ALL=(ALL)     NOPASSWD:/sbin/shutdown -c

3. 授权后：当执行命令时，可以看到会提示让输入密码

解释下为什么会让输入密码：这里的密码是输入sudo命令的密码，而我们给worker的权限是 /sbin/shutdown -c 和/bin/sudo命令，而且这两个命令都需要输入密码才可以使用，因为没有配置NOPASSWD:/bin/sudo。

• 因为sudo是worker的命令(worker ALL=(master) /sbin/shutdown -c,/bin/sudo)这个命令没有授权不输入密码(NOPASSWD),所以这里需要输入密码。
• 而shutdown -c 是master执行的，它没有要求输入密码，所以这里会直接执行不用输入密码

# sudo使用-u 以master用户身份执行shutdown -c
[worker@linux1 ~]$ sudo -u master sudo shutdown -c
Password: 
[worker@linux1 ~]$ 
Broadcast message from root@bsa161 (Thu 2023-02-02 13:29:37 CST):

The system shutdown has been cancelled at Thu 2023-02-02 13:30:37 CST!

测试场景2：

说明：在worker用户下以wilson的身份执行编辑属于wilson用户的文件aaa.txt

用户：worker：/home/worker目录下没有文件

用户：wilson：/home/wilson目录下有文件aaa.txt

用户：root

• 不授权sudo给用户worker和wilson
• 登录worker用户，执行命令vi 编辑/home/wilson/aaa.txt文件
• 第二步行不通的话再执行 sudo -u wilson vi /home/wilson/aaa.txt
• 第三步无法编辑，就可以授权vi命令，两个用户都需要密码，配置如下

  wilson ALL=(ALL) ALL
  worker ALL=(wilson) /bin/vi
  

执行结果

# 目录显示
[root@linux1 ~]# ls /home/worker/
[root@linux1 ~]# ls /home/wilson/
aaa.txt  aa.txt  bbb.txt
[worker@linux1 ~]$ sudo -u wilson vi /home/wilson/aaa.txt
[sudo] worker 的密码：

2.4 配置文件格式介绍

1. 定义别名
   比如我有好多命令有关/bin/chown, /bin/chmod,等这个时候如果写在授权哪里比较长，我们可以进行归类。所以就有别名，这个可以理解为命令组。
   例如：
   Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root（注意这里的！）
2. 具体使用案例

# 1. 定义别名
User_Alias SYSADER=beinan,linuxsir,%beinan
User_Alias DISKADER=lanhaitun
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root（注意这里的！）
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注：定义命令别名DSKCMD，下有成员parted和fdisk 
   SYSADER  ALL= SYDCMD,DSKCMD
   DISKADER ALL= (OP) DSKCMD

# 注解：
# 第一行：定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员，用户组前面必须加%号；

# 第二行：定义用户别名 DISKADER ，成员有lanhaitun

# 第三行：定义Runas用户，也就是目标用户的别名为OP，下有成员root

# 第四行：定义SYSCMD命令别名，成员之间用,号分隔，最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码；

# 第五行：定义命令别名DSKCMD，下有成员parted和fdisk ；

# 第六行：表示授权SYSADER下的任何成员，在任何可能存在的主机名的主机下运行或禁止 SYDCMD和DSKCMD下定义的命令。
# 更为明确遥说，beinan、linuxsir和beinan用户组下的成员能以root身份运行 chown 、chmod 、adduser、passwd，但不能更改root的密码；
        也能够以root身份运行 parted和fdisk ，
        本条规则的等价规则是；
        
    beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

# 第七行：表示授权DISKADER 下的任何成员，能以OP的身份，来运行 DSKCMD ，无需密码；更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令；其等价规则是：
    lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk
# 如果我想不输入用户的密码就能转换到root并运行 SYDCMD 和 DSKCMD 下的命令，那应该把把NOPASSWD:加在哪里为好？参考下面例子；
    SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

2.5 授权用户组

1. 命令格式，组前面需要添加%

   # %组名	ALL=(主机来源)	命令绝对路径
   %gourp 	ALL=(ALL)		/usr/bin/yum
   

2. 测试

   wilson ALL=(ALL) /bin/ls
   # worker ALL=(wilson) /bin/ls,/bin/vi
   %worker ALL=(wilson) /bin/ls,/bin/vi
   

   用户 worker2 所属组worker2

   用户 worker 所属组 worker

   用户 wilson 所属组 wilson

   执行步骤：

   第一步：登录用户执行 sudo -u wilson vi /home/wilson/aaa.txt

   [worker2@linux1 root]$ sudo -u worker2 vi /home/worker/aaa.txt
   worker2 不在 sudoers 文件中。此事将被报告。
   

   第二步：配置用户组权限

   wilson ALL=(ALL) /bin/ls
   # worker ALL=(wilson) /bin/ls,/bin/vi
   %worker ALL=(wilson) /bin/ls,/bin/vi
   

   第三步：修改worker2所属组为worker

   [root@linux1 ~]# usermod -g worker worker2
   

   第四步：执行命令

   [worker2@linux1 root]$ sudo -u wilson vi /home/worker/aaa.txt
   
   我们信任您已经从系统管理员那里了解了日常注意事项。
   总结起来无外乎这三点：
   
       #1) 尊重别人的隐私。
       #2) 输入前要先考虑(后果和风险)。
       #3) 权力越大，责任越大。
   
   [sudo] worker2 的密码：