面试必问Linux 命令su和sudo的区别解析

目录
  • 1. 准备工作
  • 2. su 命令介绍及主要用法
    • 2.1 - 参数
    • 2.2 切换到指定用户
    • 2.3 -c 参数
  • 3. sudo 命令介绍及主要用法
    • 3.1 主要用法
    • 3.2 sudo 工作原理
    • 3.3 思考
  • 4. 二者的差异对比

之前一直对 su 和 sudo 这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下。

1. 准备工作

因为本篇博客中涉及到用户切换,所以需要提前准备好几个测试用户,方便后续切换。

Linux中新建用户的命令是 useradd ,一般系统中这个命令对应的路径都在 PATH 环境变量里,如果直接输入 useradd 不管用的话,就用绝对路径名的方式: /usr/sbin/useradd 。

useradd 新建用户命令只有 root 用户才能执行,先从普通用户ubuntu切换到root用户(如何切换后文会介绍):

ubuntu@VM-0-14-ubuntu:~$ su -
Password: # 输入 root 用户登录密码
root@VM-0-14-ubuntu:~# useradd -m test_user # 带上 -m 参数
root@VM-0-14-ubuntu:~# ls /home
test_user  ubuntu  # 可以看到 /home 目录下面有两个用户了

因为还没有给新建的用户 test_user 设置登录密码,这就导致无法从普通用户ubuntu切换到test_user,所以接下来,需要用root来设置test_user的登录密码。需要用到 passwd 命令:

root@VM-0-14-ubuntu:~# passwd test_user
Enter new UNIX password:  # 输出 test_user 的密码
Retype new UNIX password:
passwd: password updated successfully
root@VM-0-14-ubuntu:~#

接着输入 exit 退出root用户到普通用户ubuntu:

root@VM-0-14-ubuntu:~# exit
logout
ubuntu@VM-0-14-ubuntu:~$

可以看到,命令提示符前面已经由 root 变成 ubuntu ,说明现在的身份是 ubuntu 用户。

2. su 命令介绍及主要用法

首先需要解释下 su 代表什么意思。

之前一直以为 su 是 super user ,查阅资料之后才知道原来表示 switch user 

知道 su 是由什么缩写来的之后,那么它提供的功能就显而易见了,就是 切换用户 。

2.1 - 参数

su 的一般使用方法是:

su  <user_name>

或者

su - <user_name>

两种方法只差了一个字符 - ,会有比较大的差异:

  • 如果加入了 - 参数,那么是一种 login-shell 的方式,意思是说切换到另一个用户 <user_name> 之后,当前的shell会加载 <user_name> 对应的环境变量和各种设置;
  • 如果没有加入 - 参数,那么是一种 non-login-shell 的方式,意思是说现在切换到了 <user_name> ,但是当前的shell还是加载切换之前的那个用户的环境变量以及各种设置。

光解释会比较抽象,我们看一个例子就比较容易理解了。

首先从ubuntu用户以 non-login-shell 的方式切换到root用户,比较两种用户状态下环境变量中 PWD 的值( su 命令不跟任何 <user_name> ,默认切换到root用户):

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu    # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略......
ubuntu@VM-0-14-ubuntu:~$ su    # non-login-shell 方式
Password:     # 输入 root 用户登录密码
root@VM-0-14-ubuntu:/home/ubuntu# env | grep ubuntu
PWD=/home/ubuntu  # 可以发现还是 /home/ubuntu
root@VM-0-14-ubuntu:/home/ubuntu#

的确是切换到root用户了,但是shell环境中的变量并没有改变,还是用之前ubuntu用户的环境变量。

接着从ubuntu用户以 login-shell 的方式切换到root用户,同样比较两种用户转台下环境变量中 PWD 的值:

ubuntu@VM-0-14-ubuntu:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu  # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略.......
ubuntu@VM-0-14-ubuntu:~$ su -   # 是 login-shell 方式
Password:
root@VM-0-14-ubuntu:~# env | grep root
USER=root
PWD=/root   # 已经变成 /root 了
HOME=/root
MAIL=/var/mail/root
LOGNAME=root
root@VM-0-14-ubuntu:~#

可以看到用 login-shell 的方式切换用户的话,shell 中的环境变量也跟着改变了。

总结:具体使用哪种方式切换用户看个人需求:

non-login-shell
login-shell

2.2 切换到指定用户

前面已经介绍了,如果 su 命令后面不跟任何 <user_name>,那么默认是切换到 root 用户:

ubuntu@VM-0-14-ubuntu:~$ su -
Password:  # root 用户的密码
root@VM-0-14-ubuntu:/home/ubuntu#

因为在 1. 准备工作 部分已经新建了一个test_user用户,并且我们也知道test_user用户的登录密码(root 用户设置的),就能从ubuntu用户切换到test_user用户:

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password:   # test_user 用户的密码
$

2.3 -c 参数

前面的方法中,都是先切换到另一个用户(root 或者 test_user),在哪个用户的状态下执行命令,最后输入 exit 返回当前ubuntu用户。

还有一种方式是:不需要先切换用户再执行命令,可以直接在当前用户下,以另一个用户的方式执行命令,执行结束后就返回当前用户。这就得用到 -c 参数。

具体使用方法是:

su - -c "指令串"  # 以 root 的方式执行 "指令串"

看个例子:

ubuntu@VM-0-14-ubuntu:~$ cat /etc/shadow
cat: /etc/shadow: Permission denied    # ubuntu 用户不能直接查看 /etc/shadow 文件内容
ubuntu@VM-0-14-ubuntu:~$ su - -c "tail -n 4 /etc/shadow"
Password:  # 输入 root 用户密码
ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/:18352:0:99999:7:::
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
ubuntu@VM-0-14-ubuntu:~$   # 执行完马上返回 ubuntu 用户而不是 root 用户

这种执行方式和后面要介绍的 sudo 很像,都是临时申请一下root用户的权限。但还是有差异,接着往后看。

3. sudo 命令介绍及主要用法

首先还是解释下 sudo 命令是什么意思。

sudo 的英文全称是 super user do ,即以超级用户(root 用户)的方式执行命令。这里的 sudo 和之前 su 表示的 switch user 是不同的,这点需要注意,很容易搞混。

先介绍 sudo 命令能做什么事情,然后说明为何能做到这些,以及如何做到这些。

3.1 主要用法

在 Linux 中经常会碰到 Permission denied 这种情况,比如以 ubuntu 用户的身份查看 /etc/shadow 的内容。因为这个文件的内容是只有root用户能查看的。

那如果想要查看怎么办呢?这时候就可以使用 sudo :

ubuntu@VM-0-14-ubuntu:~$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied      # 没有权限
ubuntu@VM-0-14-ubuntu:~$ sudo !!                                    # 跟两个惊叹号
sudo tail -n 3 /etc/shadow
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
ubuntu@VM-0-14-ubuntu:~$

实例中,我们使用了 sudo !! 这个小技巧,表示重复上面输入的命令,只不过在命令最前面加上 sudo 。

因为我已经设置了 sudo 命令不需要输入密码,所以这里 sudo !! 就能直接输出内容。如果没有设置的话,需要输入当前这个用户的密码,例如本例中,就应该输入ubuntu用户的登录密码。

两次相邻的 sudo 操作,如果间隔在 5min 之内,第二次输入 sudo 不需要重新输入密码;如果超过 5min ,那么再输入 sudo 时,又需要输入密码。所以一个比较省事的方法是设置 sudo 操作不需要密码。后面介绍如何设置。

sudo 除了以root用户的权限执行命令外,还有其它几个用法,这里做简单介绍。

切换到 root 用户:

sudo su -

这种方式也能以 login-shell 的方式切换到 root 用户,但是它和 su - 方法是由区别的:

sudo su -
su -

还有一个命令:

sudo -i

这个命令和 sudo su - 效果一致,也是切换到 root 用户,也是需要提供当前用户(ubuntu 用户)的登录密码。

现在切换到 test_user 用户,尝试显示 /etc/shadow 文件的内容:

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password:   # test_user 的密码
$ sudo cat /etc/shadow
[sudo] password for test_user: # test_user 的密码
test_user is not in the sudoers file.  This incident will be reported.
$

会看到倒数第二行中的错误提示信息,无法查看 /etc/shadow 的内容,这是为什么?为什么ubuntu可以使用 sudo 但是test_user不行呢?

这就涉及到 sudo 的工作原理了。

3.2 sudo 工作原理

一个用户能否使用 sudo 命令,取决于 /etc/sudoers 文件的设置。

从 3.1 节中已经看到,ubuntu用户可以正常使用 sudo ,但是test_user用户却无法使用,这是因为 /etc/sudoers 文件里没有配置 test_user。

/etc/sudoers 也是一个文本文件,但是因其有特定的语法,不要直接用 vim 或者 vi 来编辑它,需要用 visudo 这个命令。输入这个命令之后就能直接编辑 /etc/sudoers 这个文件了。

需要说明的是,只有 root 用户有权限使用 visudo 命令。

先来看下输入 visudo 命令后显示的内容。

输入(root 用户):

root@VM-0-14-ubuntu:~# visudo

输出:

# User privilege specification  
root    ALL=(ALL:ALL) ALL  
  
# Members of the admin group may gain root privileges  
%admin ALL=(ALL) ALL  
  
# Allow members of group sudo to execute any command  
%sudo   ALL=(ALL:ALL) ALL  
  
# See sudoers(5) for more information on "#include" directives:  
  
#includedir /etc/sudoers.d  
ubuntu  ALL=(ALL:ALL) NOPASSWD: ALL

解释下每一行的格式:

  • 第一个表示用户名,如 root 、 ubuntu 等;
  • 接下来等号左边的 ALL 表示允许从任何主机登录当前的用户账户;
  • 等号右边的 ALL 表示:这一行行首对一个的用户可以切换到系统中任何一个其它用户;
  • 行尾的 ALL 表示:当前行首的用户,能以 root 用户的身份下达什么命令, ALL 表示可以下达任何命令。

还注意到 ubuntu 对应的那一行有个 NOPASSWD 关键字,这就是表明 ubuntu 这个用户在请求 sudo 时不需要输入密码,到这里就解释了前面的问题。

同时要注意到,这个文件里并没有 test_user 对应的行,这也就解释了为什么test_user无法使用 sudo 命令。

接下来,尝试将test_user添加到 /etc/sudoers 文件中,使test_user也能使用 sudo 命令。在最后一行添加:

test_user  ALL=(ALL:ALL)  ALL   # test_user 使用 sudo 需要提供 test_user 的密码

接下来再在 test_user 账户下执行 sudo :

ubuntu@VM-0-14-ubuntu:~$ su - test_user
Password:
$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied
$ sudo tail -n 3 /etc/shadow                   # 加上 sudo
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
$

可以看到,现在已经可以使用 sudo 了。

3.3 思考

我们已经看到了,如果一个用户在 /etc/sudoers 文件中,那么它就具有 sudo 权限,就能通过 sudo su - 或者 sudo -i 等命令切换到root用户了,那这时这个用户就变成root用户了,那这不对系统造成很大的威胁吗?

实际上的确是这样的。所以如果在编辑 /etc/sudoers 文件赋予某种用户 sudo 权限时,必须要确定该用户是 可信任 的,不会对系统造成恶意破坏,否则将所有root权限都赋予该用户将会有非常大的危险。

当然,root用户也可以编辑 /etc/sudoers 使用户只具备一部分权限,即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条,这篇文章不再赘述。

4. 二者的差异对比

二者的差异对比:

su -
sudo su -

两种方式的差异也显而易见:如果我们的Linux系统有很多用户需要使用的话,前者要求所有用户都知道root用户的密码,这显然是非常危险的;后者是不需要暴露root账户密码的,用户只需要输入自己的账户密码就可以,而且哪些用户可以切换到root,这完全是受root控制的(root通过设置 /etc/sudoers 实现的),这样系统就安全很多了。

到此这篇关于面试必问Linux 命令su和sudo的区别解析的文章就介绍到这了,更多相关Linux 命令su和sudo内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Linux系统中sudo命令的十个技巧总结

    前言 在Linux和其他类Unix操作系统中,只有root用户可以运行所有命令并在系统上执行某些关键操作,如安装和更新,删除包,创建用户和组,修改重要的系统配置文件等. 然而,承担root用户角色的系统管理员可以允许其他正常系统用户在sudo命令和几个配置的帮助下运行某些命令以及执行包括上述的一些重要系统操作. sudo 表示 "superuser do". 它允许已验证的用户以其他用户的身份来运行命令.其他用户可以是普通用户或者超级用户.然而,大部分时候我们用它来以提升的权限来运行命

  • linux系统sudo命令详解

    比如:运行一些像mount,halt,su之类的命令,或者编辑一些系统配置文件,像/etc/mtab,/etc /samba/smb.conf等.这样以来,就不仅减少了root用户的登陆次数和管理时间,也提高了系统安全性. 一. sudo的特点 sudo扮演的角色注定了它要在安全方面格外谨慎,否则就会导致非法用户攫取root权限.同时,它还要兼顾易用性,让系统管理员能够更有效,更方便地使用它.sudo设计者的宗旨是:给用户尽可能少的权限但仍允许完成他们的工作.所以,sudo有以下特点: # 1.

  • linux sudo命令详解

    简单的说,sudo 是一种权限管理机制,管理员可以授权于一些普通用户去执行一些 root 执行的操作,而不需要知道 root 的密码. 严谨些说,sudo 允许一个已授权用户以超级用户或者其它用户的角色运行一个命令.当然,能做什么不能做什么都是通过安全策略来指定的.sudo 支持插件架构的安全策略,并能把输入输出写入日志.第三方可以开发并发布自己的安全策略和输入输出日志插件,并让它们无缝的和 sudo 一起工作.默认的安全策略记录在 /etc/sudoers 文件中.而安全策略可能需要用户通过密

  • java在linux系统下开机启动无法使用sudo命令的原因及解决办法

    操作系统:centos 5.2场景描述:我们有一个WEB工程,客户要求使用普通用户(例如chb)运行,然后在页面上有个按钮,点击之后可以关机 实现方式:1. JAVA代码: 复制代码 代码如下: public static boolean shutDownForLinux() {                try {                        Runtime.getRuntime().exec("sudo /sbin/poweroff");           

  • Linux曝出Sudo提权漏洞 任意用户亦可运行root命令

    作为 Linux 中最常使用的重要实用程序之一,Sudo 几乎安装在每一款 UNIX 和 Linux 发行版上,以便用户调用和实施核心命令. 然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 -- 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令. (题图 via Hacker News ) 据悉,Sudo 特指"超级用户".作为一个系统命令,其允许用户以特殊权限来运行程序或命令,而无需

  • Linux中sudo、su和su -命令的区别小结

    前言 在Linux系统中,由于root的权限过大,一般情况都不使用它.只有在一些特殊情况下才采用登录root执行管理任务,一般情况下临时使用root权限多采用su和sudo命令. su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户tom登录的,但要添加用户任务,执行useradd ,tom用户没有这个权限,而这个权限恰恰由root所拥有.解决办法无法有两个,一是退出tom用户,重新以root用户登录,但这种办法并不是最好的:二是我们没有必要退出tom用户,可以用su来切换到root下进行

  • Linux 中不输入密码运行 sudo 命令的方法

    sudo命令允许受信任的用户作为另一个用户运行程序,默认情况下是root用户.如果您在命令行上花费了大量时间,那么sudo将会是您一直使用的命令之一. 通常,要授予sudo访问权限,请将用户添加到sudoers文件中定义的sudo组.在Debian,Ubuntu及其衍生产品上,sudo组的成员在基于RedHat的发行版(如CentOS和Fedora)上获得sudo权限,sudo组的名称是wheel. 在运行sudo命令之前,系统将提示该组的每个成员输入密码.这增加了额外的安全层,是向用户授予su

  • 面试必问Linux 命令su和sudo的区别解析

    目录 1. 准备工作 2. su 命令介绍及主要用法 2.1 - 参数 2.2 切换到指定用户 2.3 -c 参数 3. sudo 命令介绍及主要用法 3.1 主要用法 3.2 sudo 工作原理 3.3 思考 4. 二者的差异对比 之前一直对 su 和 sudo 这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下. 1. 准备工作 因为本篇博客中涉及到用户切换,所以需要提前准备好几个测试用户,方便后续切换. Linux中新建用户的命令是 us

  • 数据库基本概念面试必问

    今天小编给大家分享日常收集整理有关数据库基本概念,对大家在今后的工作非常有帮助. 1.超键.候选键.主键.外键 超键:在关系中能唯一标识元组的属性集称为关系模式的超键.一个属性可以为作为一个超键,多个属性组合在一起也可以作为一个超键.超键包含候选键和主键. 候选键:是最小超键,即没有冗余元素的超键. 主键:数据库表中对储存数据对象予以唯一和完整标识的数据列或属性的组合.一个数据列只能有一个主键,且主键的取值不能缺失,即不能为空值(Null). 外键:在一个表中存在的另一个表的主键称此表的外键.

  • Java泛型常见面试题(面试必问)

    1.泛型的基础概念 1.1 为什么需要泛型 List list = new ArrayList();//默认类型是Object list.add("A123"); list.add("B234"); list.add("C345"); System.out.println(list); for(int i=0;i<list.size();i++){ //若要将list中的元素赋给String变量,需要进行类型转换,不然会报Incompati

  • Java面试必问之ThreadLocal终极篇分享

    目录 前言 ThreadLocal是什么 ThreadLoalMap hash冲突 内存泄露 如何避免内存泄露 总结 前言 在面试环节中,考察"ThreadLocal"也是面试官的家常便饭,所以对它理解透彻,是非常有必要的. 有些面试官会开门见山的提问: "知道ThreadLocal吗?" "讲讲你对ThreadLocal的理解" 当然了,也有面试官会慢慢引导到这个话题上,比如提问"在多线程环境下,如何防止自己的变量被其它线程篡改&qu

  • HashSet如何保证元素不重复(面试必问)

    目录 1.HashSet 基本用法 2.HashSet 无序性 3.HashSet 错误用法 3.1 HashSet 与基本数据类型 3.2 HashSet 与自定义对象类型 4.HashSet 如何保证元素不重复? 总结 本文已收录<Java常见面试题>系列,Git 开源地址:https://gitee.com/mydb/interview HashSet 实现了 Set 接口,由哈希表(实际是 HashMap)提供支持.HashSet 不保证集合的迭代顺序,但允许插入 null 值.也就是

  • Spring Boot面试必问之启动流程知识点详解

    目录 一 面试提问 1.1 Spring Boot启动流程 1.2 SpringBoot自动装配 二 知识点详解 2.1 SpringBoot核心注解: 2.2详细启动流程(结合源码) 总结 一 面试提问 1.1 Spring Boot启动流程 ???面试官:说说SpringBoot启动流程吧 ?? 我 : 首先从main找到run()方法,在执行run()方法之前new一个SpringApplication对象 进入run()方法,创建应用监听器SpringApplicationRunList

  • 当面试官问mysql中char与varchar的区别

    目录 char与varchar的区别 char与varchar的区别 以上就是当面试官问mysql中char与varchar的区别的详细内容,更多关于char与varchar的区别的资料请关注我们其它相关文章!

  • java虚拟机JVM类加载机制原理(面试必问)

    目录 1.类加载的过程. 1)加载 2)验证 3)准备 4)解析 5)初始化 2.Java 虚拟机中有哪些类加载器? 1)启动类加载器(Bootstrap ClassLoader): 2)扩展类加载器(Extension ClassLoader): 3)应用程序类加载器(Application ClassLoader): 3.什么是双亲委派模型? 4.为什么使用双亲委派模式? 5.有哪些场景破坏了双亲委派模型? 1)线程上下文类加载器 2)Tomcat 的多 Web 应用程序 3)OSGI 实现

  • Android handler 详解(面试必问)

    handler在Android中被称为"消息处理者",在多线程中比较常用. Handler为Android提供了一种异步消息处理机制,当向消息队列中发送消息 (sendMessage)后就立即返回,而从消息队列中读取消息时会阻塞,其中从消息队列中读取消息时会执行Handler中的public void handleMessage(Message msg) 方法,因此在创建Handler时应该使用匿名内部类重写该方法,在该方法中写上读取到消息后的操作,使用Handler的 obtainM

  • Linux命令每天必学之 useradd/adduser 新增用户

    Linux下useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户. 语法: useradd [参数] name 参数: -c:加上备注文字,备注文字保存在passwd的备注栏中. -d:–home-dir HOME_DIR 指定home目录 -e:指定账号的失效日期,日期格式为MM/DD/YY,例如06/30/12.缺省表示永久有效. -f:指定在密码过期后多少天即关闭该账号.如果为0账号立即被停用:如果为-1则账号一直可用.默认值为-1. -g:–gid

随机推荐