被问 Linux 命令 su 和 sudo 的区别?当场蒙了!_码农code之路的博客-程序员宅基地

技术标签: java  ubuntu  shell  linux  数据库  

c33bb44960f69e99a868e70daf42878d.png

tanjuntao.github.io

之前一直对 su 和 sudo 这两个命令犯迷糊,最近专门搜了这方面的资料,总算是把两者的关系以及用法搞清楚了,这篇文章来系统总结一下。

1. 准备工作

因为本篇博客中涉及到用户切换,所以我需要提前准备好几个测试用户,方便后续切换。

Linux 中新建用户的命令是 useradd ,一般系统中这个命令对应的路径都在 PATH 环境变量里,如果直接输入 useradd 不管用的话,就用绝对路径名的方式:/usr/sbin/useradd 。

useradd 新建用户命令只有 root 用户才能执行,我们先从普通用户 ubuntu 切换到 root 用户(如何切换后文会介绍):

[email protected]:~$ su -
Password:                                         # 输入 root 用户登录密码
[email protected]:~# useradd -m test_user       # 带上 -m 参数
[email protected]:~# ls /home
test_user  ubuntu                                 # 可以看到 /home 目录下面有两个用户了

因为还没有给新建的用户 test_user 设置登录密码,这就导致我们无法从普通用户 ubuntu 切换到 test_user,所以接下来,我们需要用 root 来设置 test_user 的登录密码。需要用到 passwd 命令:

[email protected]:~# passwd test_user
Enter new UNIX password:                          # 输出 test_user 的密码
Retype new UNIX password:       
passwd: password updated successfully
[email protected]:~#

接着我们输入 exit 退出 root 用户到 普通用户 ubuntu:

[email protected]:~# exit
logout
[email protected]:~$

可以看到,命令提示符前面已经由 root 变成 ubuntu,说明我们现在的身份是 ubuntu 用户。

2. su 命令介绍及主要用法

首先需要解释下 su 代表什么意思。

之前一直以为 su 是 super user,查阅资料之后才知道原来表示 switch user

知道 su 是由什么缩写来的之后,那么它提供的功能就显而易见了,就是「切换用户」

2.1 - 参数

su 的一般使用方法是:

su  <user_name>

或者

su - <user_name>

两种方法只差了一个字符 -,会有比较大的差异:

  • 如果加入了 - 参数,那么是一种 login-shell 的方式,意思是说切换到另一个用户 <user_name> 之后,当前的 shell 会加载 <user_name> 对应的环境变量和各种设置;

  • 如果没有加入 - 参数,那么是一种 non-login-shell 的方式,意思是说我现在切换到了 <user_name>,但是当前的 shell 还是加载切换之前的那个用户的环境变量以及各种设置。

光解释会比较抽象,我们看一个例子就比较容易理解了。

我们首先从 ubuntu 用户以 non-login-shell 的方式切换到 root 用户,比较两种用户状态下环境变量中 PWD 的值(su 命令不跟任何 <user_name> ,默认切换到 root 用户):

[email protected]:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu                                         # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略......
[email protected]:~$ su                              # non-login-shell 方式
Password:                                                # 输入 root 用户登录密码
[email protected]:/home/ubuntu# env | grep ubuntu
PWD=/home/ubuntu                                         # 可以发现还是 /home/ubuntu
[email protected]:/home/ubuntu#

我们的确是切换到 root 用户了,但是 shell 环境中的变量并没有改变,还是用之前 ubuntu 用户的环境变量。

接着我们从 ubuntu 用户以 login-shell 的方式切换到 root 用户,同样比较两种用户转台下环境变量中 PWD 的值:

[email protected]:~$ env | grep ubuntu
USER=ubuntu
PWD=/home/ubuntu                               # 是 /home/ubuntu
HOME=/home/ubuntu
# 省略.......
[email protected]:~$ su -                  # 是 login-shell 方式
Password:
[email protected]:~# env | grep root
USER=root
PWD=/root                                      # 已经变成 /root 了
HOME=/root
MAIL=/var/mail/root
LOGNAME=root
[email protected]:~#

可以看到用 login-shell 的方式切换用户的话,shell 中的环境变量也跟着改变了。

「总结」:具体使用哪种方式切换用户看个人需求:

  • 如果不想因为切换到另一个用户导致自己在当前用户下的设置不可用,那么用 non-login-shell 的方式;

  • 如果切换用户后,需要用到该用户的各种环境变量(不同用户的环境变量设置一般是不同的),那么使用 login-shell 的方式。

切换到指定用户

前面已经介绍了,如果 su 命令后面不跟任何 <user_name>,那么默认是切换到 root 用户:

[email protected]:~$ su -
Password:    # root 用户的密码
[email protected]:/home/ubuntu#

因为我们在 1. 准备工作 部分已经新建了一个 test_user 用户,并且我们也知道 test_user 用户的登录密码(root 用户设置的),我们就能从 ubuntu 用户切换到 test_user 用户:

[email protected]:~$ su -
Password:       # root 用户的密码
[email protected]:/home/ubuntu#

2.3 -c 参数

前面的方法中,我们都是先切换到另一个用户(root 或者 test_user),在哪个用户的状态下执行命令,最后输入 exit 返回当前 ubuntu 用户。

还有一种方式是:不需要先切换用户再执行命令,可以直接在当前用户下,以另一个用户的方式执行命令,执行结束后就返回当前用户。这就得用到 -c 参数。

具体使用方法是:

su - -c "指令串"  # 以 root 的方式执行 "指令串"

我么看个例子:

[email protected]:~$ cat /etc/shadow
cat: /etc/shadow: Permission denied                # ubuntu 用户不能直接查看 /etc/shadow 文件内容

[email protected]:~$ su - -c "tail -n 4 /etc/shadow"
Password:                                          # 输入 root 用户密码
ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/:18352:0:99999:7:::
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
[email protected]:~$                            # 执行完马上返回 ubuntu 用户而不是 root 用户

这种执行方式和后面要介绍的 sudo 很像,都是临时申请一下 root 用户的权限。但还是有差异,我们接着往后看。

3. sudo 命令介绍及主要用法

首先还是解释下 sudo 命令是什么意思。

sudo 的英文全称是 super user do,即以超级用户(root 用户)的方式执行命令。这里的 sudo 和之前 su 表示的 switch user 是不同的,这点需要注意,很容易搞混。

我们先介绍 sudo 命令能做什么事情,然后说明为何能做到这些,以及如何做到这些。

我们开始。

3.1 主要用法

我们在 Linux 中经常会碰到 Permission denied 这种情况,比如以 ubuntu 用户的身份查看 /etc/shadow 的内容。因为这个文件的内容是只有 root 用户能查看的。

那如果我们想要查看怎么办呢?这时候就可以使用 sudo :

[email protected]:~$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied      # 没有权限
[email protected]:~$ sudo !!                                    # 跟两个惊叹号
sudo tail -n 3 /etc/shadow
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
[email protected]-0-14-ubuntu:~$

实例中,我们使用了 sudo !! 这个小技巧,表示重复上面输入的命令,只不过在命令最前面加上 sudo 。

因为我已经设置了 sudo 命令不需要输入密码,所以这里 sudo !! 就能直接输出内容。如果没有设置的话,需要输入当前这个用户的密码,例如本例中,我就应该输入 ubuntu 用户的登录密码。

两次相邻的 sudo 操作,如果间隔在 5min 之内,第二次输入 sudo 不需要重新输入密码;如果超过 5min,那么再输入 sudo 时,又需要输入密码。所以一个比较省事的方法是设置 sudo 操作不需要密码。后面介绍如何设置。

sudo 除了以 root 用户的权限执行命令外,还有其它几个用法,这里做简单介绍。

切换到 root 用户:

sudo su -

这种方式也能以 login-shell 的方式切换到 root 用户,但是它和 su - 方法是由区别的:

  • 前者输入 sudo su - 后,需要提供当前用户的登录密码,也就是 ubuntu 用户的密码;

  • 后者输入 su - 后,需要提供 root 用户的登录密码。

还有一个命令:

sudo -i

这个命令和 sudo su - 效果一致,也是切换到 root 用户,也是需要提供当前用户(ubuntu 用户)的登录密码。

我们现在切换到 test_user 用户,尝试显示 /etc/shadow 文件的内容:

[email protected]:~$ su - test_user
Password:                                       # test_user 的密码
$ sudo cat /etc/shadow
[sudo] password for test_user:                  # test_user 的密码
test_user is not in the sudoers file.  This incident will be reported.
$

我们会看到倒数第二行中的错误提示信息,我们无法查看 /etc/shadow 的内容,这是为什么?为什么 ubuntu 可以使用 sudo 但是 test_user 不行呢?

这就涉及到 sudo 的工作原理了。

3.2 sudo 工作原理

一个用户能否使用 sudo 命令,取决于 /etc/sudoers 文件的设置。

从 3.1 节中我们已经看到,ubuntu 用户可以正常使用 sudo ,但是 test_user 用户却无法使用,这是因为 /etc/sudoers 文件里没有配置 test_user。

/etc/sudoers 也是一个文本文件,但是因其有特定的语法,我们不要直接用 vim 或者 vi 来编辑它,需要用 visudo 这个命令。输入这个命令之后就能直接编辑 /etc/sudoers 这个文件了。

需要说明的是,只有 root 用户有权限使用 visudo 命令。

我们先来看下输入 visudo 命令后显示的内容。

输入(root 用户):

[email protected]:~# visudo

输出:

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d
ubuntu  ALL=(ALL:ALL) NOPASSWD: ALL

解释下每一行的格式:

  • 第一个表示用户名,如 root 、ubuntu 等;

  • 接下来等号左边的 ALL 表示允许从任何主机登录当前的用户账户;

  • 等号右边的 ALL 表示:这一行行首对一个的用户可以切换到系统中任何一个其它用户;

  • 行尾的 ALL 表示:当前行首的用户,能以 root 用户的身份下达什么命令,ALL 表示可以下达任何命令。

我们还注意到 ubuntu 对应的那一行有个 NOPASSWD 关键字,这就是表明 ubuntu 这个用户在请求 sudo 时不需要输入密码,到这里就解释了前面的问题。

同时我们注意到,这个文件里并没有 test_user 对应的行,这也就解释了为什么 test_user 无法使用 sudo 命令。

接下来,我们尝试将 test_user 添加到 /etc/sudoers 文件中,使 test_user 也能使用 sudo 命令。我们在最后一行添加:

test_user  ALL=(ALL:ALL)  ALL       # test_user 使用 sudo 需要提供 test_user 的密码

接下来我们再在 test_user 账户下执行 sudo :

[email protected]:~$ su - test_user
Password:
$ tail -n 3 /etc/shadow
tail: cannot open '/etc/shadow' for reading: Permission denied
$ sudo tail -n 3 /etc/shadow                   # 加上 sudo
ntp:*:17752:0:99999:7:::
mysql:!:18376:0:99999:7:::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::
$

可以看到,现在已经可以使用 sudo 了。

3.3 思考

我们已经看到了,如果一个用户在 /etc/sudoers 文件中,那么它就具有 sudo 权限,就能通过 sudo su - 或者 sudo -i 等命令切换到 root 用户了,那这时这个用户就变成 root 用户了,那这不对系统造成很大的威胁吗?

实际上的确是这样的。所以如果在编辑 /etc/sudoers 文件赋予某种用户 sudo 权限时,必须要确定该用户是「可信任」的,不会对系统造成恶意破坏,否则将所有 root 权限都赋予该用户将会有非常大的危险。

当然,root 用户也可以编辑 /etc/sudoers 使用户只具备一部分权限,即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条,这篇文章不再赘述。

4. 二者的差异对比

我们已经看到:

  • 使用 su - ,提供 root 账户的密码,可以切换到 root 用户;

  • 使用 sudo su - ,提供当前用户的密码,也可以切换到 root 用户

两种方式的差异也显而易见:如果我们的 Linux 系统有很多用户需要使用的话,前者要求所有用户都知道 root 用户的密码,这显然是非常危险的;后者是不需要暴露 root 账户密码的,用户只需要输入自己的账户密码就可以,而且哪些用户可以切换到 root,这完全是受 root 控制的(root 通过设置 /etc/sudoers 实现的),这样系统就安全很多了。

References

  • https://www.rootusers.com/the-difference-between-su-and-sudo-commands-in-linux/

  • 《鸟哥的 Linux 私房菜》13.4 节:使用者身份切换

  • https://github.com/ustclug/Linux101-docs/blob/master/docs/Ch05/index.md

  • https://www.maketecheasier.com/differences-between-su-sudo-su-sudo-s-sudo-i/

  • https://stackoverflow.com/questions/35999671/whats-the-difference-between-sudo-i-and-sudo-su?r=SearchResults

  • https://www.zhihu.com/question/51746286

  • https://www.linuxidc.com/Linux/2017-06/144916.htm

往期推荐

Windows 11正式版终于发布,最低配置要求来了

笑出腹肌的注释,都是被代码耽误的诗人!

突发!LayUI宣布下线

程序员写过的最大Bug:亏损30亿、致6人亡,甚至差点毁灭世界

国产Linux发行版再添一员,操作界面不输苹果!

0.2秒居然复制了100G文件?

一打卡作弊软件CEO被判5年6个月,网友:这也太...

这才是中国被卡脖子最严重的软件!

e60f764dc8a73f1a0d1905b130c6046f.png

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woniu211111/article/details/120878531

智能推荐

上交大 2011 二次方程计算器_dixiang1123的博客-程序员宅基地

题目:输入关于x的二次方程表达式(系数为整数),输出两个解(由小到大输出,保留两位小数);如果无解,则输出“No Solution”。思路:先确定等号位置,分成左右两个字符串,从中分别提取系数,再综合。然后求解。提取系数的过程如图:过程:介绍两个函数:atoi()函数可以识别"+""-"号,并正确转化成int。string str="-2980";string s...

只重写equals()但不重写hashCode会有什么后果?_1024276449的博客-程序员宅基地_不重写hashcode有什么影响

只重写equals()但不重写hashCode会有什么后果?1.如果判断两个数如果hashCode相同则equals不一定相同,反而equals相同则hashCode则一定相同。2.那么我们只重写equals()但不重写hashCode会有什么后果?如果我们不将我们重写equals方法的类放到HashSet等散列表中时则不会有什么影响,但如果放到我们的散列表中时我们的散列表则会优先比较HashCode所以可能会产生错误。...

Struts2中的设计模式_7潜伏7的博客-程序员宅基地_struts2设计模式

设计模式(Design pattern)是经过程序员反复实践后形成的一套代码设计经验的总结。设计模式随着编程语言的发展,也由最初的“编程惯例”逐步发展成为被反复使用、并为绝大多数程序员所知晓的、完善的理论体系。我们使用设计模式(Design pattern)的初衷,是使代码的重用度提高、让代码能够更容易被别人理解以及保证代码的可靠性。毫无疑问,在程序中使用设计模式无论是对于程序员自身还是对于应用程

Assemble UVALive - 3971 组装电脑_Nicolas Lee的博客-程序员宅基地

Recently your team noticed that the computer you use to practice for programming contests is notgood enough anymore. Therefore, you decide to buy a new computer. To make the ideal computer ...

ubuntu 16.06 编译 vlc for android_qq_15361657的博客-程序员宅基地

1、https://www.ubuntu.com/download      下载 ubuntu16.042、vmware workstation配置虚拟机3、下载android studio,下载sdk ndk4、配置sdk,ndk5、配置bash.profile6、git7、sh compile.sh

如何发布ArcGIS Server离线地图(google 瓦片)_weixin_44922969的博客-程序员宅基地

说明本案例实现内容:GoogleEarth瓦片地图的获取、在ArcGIS Server Manger中发布下载好的影像瓦片数据。工具准备1、BIGEMAP地图下载器http://www.bigemap.com/reader/download/2、ARCGIS10.2 http://pan.baidu.com/s/1i5uMzU93、ARCGIS SERVE...

随便推点

android接收list对象数组,Android - ToDoList(定制ArrayAdapter)_席佳益的博客-程序员宅基地

ToDoList(定制ArrayAdapter)本文地址:http://blog.csdn.net/caroline_wendy/article/details/21401907前置项目参见:http://blog.csdn.net/caroline_wendy/article/details/21330733环境: Android Studio 0.5.1ArrayAdapter使用泛型(模...

STS on Eclipse 3.6_咔啡的博客-程序员宅基地

EngineeringChristian DupuisJuly 01, 2010Last week the Eclipse Foundation released the much anticipated next version of Eclipse. You can download Eclipse 3.6 aka Helios from SpringSource’s member distribution page. Also check out the New &amp; Noteworthy

js读取服务器html文件,【未解决】js中将html内容保存到服务器上的本地的html文件..._Arsd的博客-程序员宅基地

【背景】之前已经实现了:网页中,点击某个按钮,可以调用到js获得到KindEditor的html的内容:function submitGoodsContent(){var kindeditor = window.editor;// 取得HTML内容html = kindeditor.html();console.log(html);}商品名:在此输入新产品的介绍内容提交当前页面现在希望实现,不仅仅...

2020-12-02_weixin_50738680的博客-程序员宅基地

产品名称: GSK 928TEⅡ车床数控系统型  号: GSK 928TEⅡ价  格: 请与商家联系品  牌: 广州数控产品介绍: GSK 928TEⅡ车床数控系统是广州数控设备有限公司在GSK 928TE车床数控系统的基础上推出的一款新的成熟产品。本系统功能更加强大,性能更加稳定,与本公司生产的交流伺服驱动单元、交流伺服电动机等匹配,构成了一款性能高的普及型数控系统。本系统也可按客户要求配置其他驱动装置。● CPLD硬件插补,μm级精度,最高速度15m/min● 加减速特性、辅助功能逻辑可由用户设

荷畔微风 - 在函数计算FunctionCompute中使用WebAssembly_chikuai9995的博客-程序员宅基地

WebAssembly 是一种新的W3C规范,无需插件可以在所有现代浏览器中实现近乎原生代码的性能。同时由于 WebAssembly 运行在轻量级的沙箱虚拟机上,在安全、可移植性上比原生进程更加具备优势。同时资源消耗小、启动速度快的特点也非常适合Serverless的场景。开发者们开始探索...

(12) IFC链接 (Industry Foundation Class)_qq_42981953的博客-程序员宅基地

用C++解析ifc:不规则形状的Ifc构件顶点坐标获取 - 西北逍遥 - 博客园 (cnblogs.com)https://www.cnblogs.com/herd/p/11937659.html获取IFC构件的位置数据、方向数据 - 西北逍遥 - 博客园 (cnblogs.com)https://www.cnblogs.com/herd/p/11794085.html-----id: 253 name: "M_矩形-结构柱:F1-400 x 600mm:361699" class: IfcCo