建议尽量以一般账户来操作 Linux 执行日常命令。等到需要设定系统环境时， 才变换身份为 root，这样相对来说比较安全。

1 su 命令

su 命令可以让我们在不登出当前用户的情况下，以另一个用户的身份登录系统¹。

su 命令经常被用于切换身份到root 用户，当然它也可以切换身份到其它用户。语法为 su – [账户名]。如果直接键入 su，那么就会切换身份到root 用户，切换过程会要求输入 root 密码。密码确认后，就会切换到 root 账户：

1.1 完全切换

单纯使用su 切换成为 root 的身份，读取的变量设定方式为 non-login shell 的方式，这种方式下很多原本的变量不会被改变，即不是完全的 root 环境²。

可以看到 env 中 USER 对应的还是 vagrant 账户。

还有一种root 身份切换方式是 su -：

两种方式之间的区别是：前者在切换到 root 账户之后仍然保持原账户环境，而后者会以登录的方式切换到 root 账户。su - 切换的 root 账户，exit 之后，会登出该账户，然后再进入原账户。

采用 su – 方式切换为 root 账户的方式，就是完全的 root 环境：

1.2 自动切换

通过 -c 选项，会以 root 身份执行命令后，自动切换回原身份。

/etc/shadow 文件，用于存储 Linux 系统中用户的密码信息，又称为“影子文件”³。这个文件只有 root 账户才有权限查阅。

利用 -c 选项，我们会以 root 身份执行查阅影子文件的操作，之后直接切换回原始身份：

head命令可用于查看文档头 x 行内容，x 通过 -x 语法来指定，也可以用语法 -n x。默认显示文档的前 10 行⁴。

1.3 切换为其他账户

通过 -l xxx 就可以切换为其他账户。假设目前登录的身份是 vagrant，我们想切换为 deniro，就可以输入命令：su -l deniro：

---

总结如下：

l 尽量采用完整切换模式，即 su -（后面会讲到 sudo，相对来说，sudo 指令更好用）；

l 利用 -c 选项实现自动切换，格式为：su -c “{需要执行命令}”;

l 利用 -l 选项切换为其他账户，格式为：su -l {其他账户}。

2 sudo 命令

sudo 命令主要用于切换账户身份执行命令。具体流程为[v]：

1. 当执行 sudo 时，系统会在 /etc/sudoers 文件中判定该命令执行身份是否有 sudo 的权限；

2. 如果有 sudo 权限，就让其输入该账户自己的密码进行身份确认（如果是root 账户，则无须输入密码）；

3. 身份确认后，就会执行接在sudo 后的指令。

2.1 切换账户身份执行命令

sudo 命令配合 -u 属性，可以切换到某个账户执行某些指令。格式为：sudo -u {希望切换的账户名} {需要执行的命令}。比如我们当前的身份是 vagrant，希望在 tmp/ 下，以 deniro 账户身份新建一个 t1.txt，就可以键入：sudo -u deniro touch /tmp/t1.txt。

ll 是 ls -l 的简写形式。

利用 sh -c 与 ; 还可以批量执行命令。比如我们希望以 deniro 的身份创建一个 /tmp/tt 文件夹，并在其中新建一个 test.txt 文件。就可以输入以下命令：sudo -u deniro sh -c "mkdir /tmp/tt; cd /tmp/tt; echo 'sudo test file' > test.txt"

2.2 sudoers 文件配置方式

/etc/sudoers 文件用于定义 sudo 使用权限。某些场景下（比如安装中间件），我们需要使用 sudo 执行原本属于 root 权限的指令。这就必须先使用 visudo 指令来修改 /etc/sudoers。为什么不直接使用 vi 指令呢？因为visudo 指令会在修改后，帮我们进行 sudoers 文件语法检查。vi 指令就没这功能，所以不推荐使用。

执行 visudo 指令后，会进入 sudoers 文件，其中有一行是这样的：

这里每一列的含义如下⁵：

1.可以使用 sudo 指令的账号；

2.登入者的来源主机名，即网络客户端主机名。ALL 表示无限制；

3.可切换的身份。ALL 表示可以切换成任何账户；

4.可执行指令，指令必须是绝对路径。ALL 表示可以执行任何指令。

因为配置了这一行，所以允许 root 指令运行任何 sudo 指令。我们可以仿照该配置，为新的账户添加 sudo 权限。形如：

deniro ALL=(ALL) ALL。

配置保存后。输入 cat /etc/shadow 仍然会被限制：

但如果透过 sudo，即输入 sudo cat /etc/shadow 命令就可以执行。第一次使用，会被要求输入当前账户的密码。

加入之后，就可以使用 sudo -i 命令，切换身份为 root 账户。

2.3 wheel 群组方式

在 sudoers 文件中，配置 wheel 群组，就可以让加入这一群组的账户使用 sudo 指令。

wheel /wiːl/

visudo 之后，可以看到下面的配置：

这个配置会让任何加入 wheel 这个群组的账户，都能够使用 sudo 指令切换任何身份来操作任何指令⁵。

执行该命令 usermod -G wheel deniro，就可以把账户 deniro 加入 wheel 群组。

这时的 deniro 账户就可以执行带 sudo 的指令咯。

usermod 可用来修改账户的各项设置。-G 表示修改附属群组，后面紧跟着群组名。命令格式为：usermod -G wheel {账户名}。

2.4 免密使用方式

一般情况下，拥有执行 sudo 指令权限的账户，在调用 sudo 指令后，需要输入各自的账户，验证通过后才可以真正执行 sudo 之后的指令。

使用 visudo 命令，找到下面这一行，去掉最前面的 # 注释：

保存后，wheel 群组的账户就无须输入密码，就可以使用 sudo 指令啦。

3 su 与 sudo 命令之间的区别

su 命令需要输入的是 root 账户的密码，sudo 命令需要输入的是当前账户的密码。sudo 命令更安全，而且也更容易维护：

• 无须传播 root 账户的密码，增加了安全性；
• 由于无须传播 root 账户的密码，即使因为某些原因修改了 root 账户的密码，也不用重新分发一遍；
• 如果需要收回某些账户的 root 访问权限，无须更改root 账户的密码就可以直接收回（通过修改 sudoers 文件中的相应配置）。

---

[1] 深入理解 sudo 与 su 之间的区别.
[2] 鸟哥. 鸟哥的Linux私房菜 基础学习篇[M]. 第四版. 北京： 人民邮电出版社，2018:201.
[3] Linux /etc/shadow（影子文件）内容解析.
[4] Linux head命令.
[5] 鸟哥. 鸟哥的Linux私房菜 基础学习篇[M]. 第四版. 北京： 人民邮电出版社，2018:603-605.

用户切换相关命令

为什么要进行用户切换？

在操作过程中需要使用特定的用户进行特定的操作，多数情况下是因为权限，比如要修改一个文件，只有root用户有权限修改，那么就要切换到root用户下进行操作。切换用户一般有两个命令：

1. su命令

su命令不加参数，默认切到root用户，需要输入root用户密码进行验证，

                                            

exit命令可退出root用户。

su命令可以加一个“-”再加上用户名，此时，不但身份变化了，同时也拥有了此用户的“用户环境”，比如用户家目录以及此用户的其它个性化设置。

                                                         

普通用户切换其它用户需要知道其它用户的密码，root用户使用su命令切换其它用户，不需要知道用户密码

2. sudo命令

Linux是多用户多任务的操作系统, 共享该系统的用户往往不只一个。
出于安全性考虑, 有必要通过useradd创建一些非root用户, 只让它们拥有不完全的权限; 如有必要，再来提升权限执行。

sudo就是来解决这个需求的: 这些非root用户不需要知道root的密码，就可以提权到root，执行一些root才能执行的命令。

执行sudo -u <用户名> <命令>, 将允许当前用户，提权到<用户名>的身份，再执行后面的<命令>, 即使<命令>原本需要root权限。
提权到<用户名>身份时，是以<用户名>的身份来执行命令的，因此创建的文件默认属于<用户名>用户。

因此，当userB执行如下命令时:

sudo -u userA touch /tmp/belong-to-who.tmp

创建的/tmp/belong-to-who.tmp 文件属于用户userA。

如果不带-u, 则默认使用root用户，而大多数时候sudo都是要提权到root的，所以-u <用户名>可以省略为:

sudo <命令>

需要注意的是: 执行sudo时输入的密码是当前用户的密码, 并非<用户名>的密码。
sudo -u <用户名>和su - <用户名>相比:
前者需要输入当前用户的密码，提权到<用户名>身份执行命令后返回当前用户;
后者则是输入目标用户的密码，切换到目标用户。

赋予用户sudo操作的权限

通过useradd添加的用户，并不具备sudo权限。在ubuntu/centos等系统下, 需要将用户加入admin组或者wheel组或者sudo组。

以root用户身份执行如下命令, 将用户加入wheel/admin/sudo组:

usermod -a -G wheel <用户名>

如果提示wheel组不存在, 则还需要先创建该组:

groupadd wheel

用公式讲解/etc/sudoers的内容

sudo的权限控制可以在/etc/sudoers文件中查看到。

如果想要控制某个用户(或某个组用户)只能执行root权限中的一部分命令, 或者允许某些用户使用sudo时不需要输入密码,就需要对该文件有所了解。

一般来说，通过cat /etc/sudoers指令来查看该文件, 会看到如下几行代码:

root   ALL=(ALL:ALL) ALL
%wheel ALL=(ALL) ALL
%sudo  ALL=(ALL:ALL) ALL

对/etc/sudoers文件进行编辑的代码公式可以概括为:

授权用户/组 主机=[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,...

凡是[ ]中的内容, 都能省略; 命令和命令之间用,号分隔;

为了方便说明, 将公式的各个部分称呼为字段1 - 字段5:

授权用户/组 主机  =[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,...
字段1      字段2  =[(字段3)] [字段4] 字段5

字段3、字段4，是可以省略的。

在上面的默认例子中, "字段1"不以%号开头的表示"将要授权的用户", 比如例子中的root；
以%号开头的表示"将要授权的组", 比如例子中的%wheel组 和 %sudo组。

"字段2"表示允许登录的主机, ALL表示所有; 如果该字段不为ALL,表示授权用户只能在某些机器上登录本服务器来执行sudo命令. 比如:

jack mycomputer=/usr/sbin/reboot,/usr/sbin/shutdown

表示: 普通用户jack在主机(或主机组)mycomputer上, 可以通过sudo执行reboot和shutdown两个命令。"字段3"和"字段4"省略。

"字段3"如果省略, 相当于(root:root)，表示可以通过sudo提权到root; 如果为(ALL)或者(ALL:ALL), 表示能够提权到(任意用户:任意用户组)。

请注意，"字段3"如果没省略,必须使用( )双括号包含起来。这样才能区分是省略了"字段3"还是省略了"字段4"。

"字段4"的可能取值是NOPASSWD:。请注意NOPASSWD后面带有冒号:。表示执行sudo时可以不需要输入密码。比如:

lucy ALL=(ALL) NOPASSWD: /bin/useradd

表示: 普通用户lucy可以在任何主机上, 通过sudo执行/bin/useradd命令, 并且不需要输入密码.

又比如:

peter ALL=(ALL) NOPASSWD: ALL

表示: 普通用户peter可以在任何主机上, 通过sudo执行任何命令, 并且不需要输入密码。

"字段5"是使用逗号分开一系列命令,这些命令就是授权给用户的操作; ALL表示允许所有操作。

你可能已经注意到了, 命令都是使用绝对路径, 这是为了避免目录下有同名命令被执行，从而造成安全隐患。

如果你将授权写成如下安全性欠妥的格式:

lucy ALL=(ALL) chown,chmod,useradd

那么用户就有可能创建一个他自己的程序, 也命名为userad, 然后放在它的本地路径中, 如此一来他就能够使用root来执行这个"名为useradd的程序"。这是相当危险的!

命令的绝对路径可通过which指令查看到: 比如which useradd可以查看到命令useradd的绝对路径: /usr/sbin/useradd

公式还要扩充

例子1:

papi ALL=(root) NOPASSWD: /bin/chown,/usr/sbin/useradd

表示: 用户papi能在所有可能出现的主机上, 提权到root下执行/bin/chown, 不必输入密码; 但运行/usr/sbin/useradd 命令时需要密码.

这是因为NOPASSWD:只影响了其后的第一个命令: 命令1.

上面给出的公式只是简化版，完整的公式如下:

授权用户/组 主机=[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1, [(字段3)] [字段4] 命令2, ...

在具有sudo操作的用户下, 执行sudo -l可以查看到该用户被允许和被禁止运行的命令.

通配符和取消命令

例子2:

papi ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk

用例子2来说明通配符*的用法, 以及命令前面加上!号表示取消该命令。

该例子的意思是: 用户papi在所有可能出现的主机上, 能够运行目录/usr/sbin和/sbin下所有的程序, 但fdisk除外.

开始编辑

“你讲了这么多,但是在实践中,我去编辑/etc/sudoers文件，系统提示我没权限啊，怎么办?”

这是因为/etc/sudoers的内容如此敏感，以至于该文件是只读的。所以，编辑该文件前，请确认清楚你知道自己正在做什么。

强烈建议通过visudo命令来修改该文件，通过visudo修改，如果配置出错，会有提示。

不过，系统文档推荐的做法，不是直接修改/etc/sudoers文件，而是将修改写在/etc/sudoers.d/目录下的文件中。

如果使用这种方式修改sudoers，需要在/etc/sudoers文件的最后行，加上#includedir /etc/sudoers.d一行(默认已有):

#includedir /etc/sudoers.d

注意了，这里的指令#includedir是一个整体, 前面的#号不能丢，并非注释，也不能在#号后有空格。

任何在/etc/sudoers.d/目录下，不以~号结尾的文件和不包含.号的文件，都会被解析成/etc/sudoers的内容。

文档中是这么说的:

# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in '~' or contain a '.' character.

# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.

# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade.

# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.

其他小知识

输入密码时有反馈

当使用sudo后输入密码，并不会显示任何东西 —— 甚至连常规的星号都没有。有个办法可以解决该问题。

打开/etc/sudoers文件找到下述一行:

Defaults env_reset

修改成:

Defaults        env_reset,pwfeedback

修改sudo会话时间

如果你经常使用sudo 命令，你肯定注意到过当你成功输入一次密码后，可以不用再输入密码就可以运行几次sudo命令。
但是一段时间后，sudo 命令会再次要求你输入密码。默认是15分钟，该时间可以调整。添加timestamp_timeout=分钟数即可。
时间以分钟为单位，-1表示永不过期，但强烈不推荐。

比如我希望将时间延长到1小时，还是打开/etc/sudoers文件找到下述一行:

Defaults env_reset

修改成:

Defaults        env_reset,pwfeedback,timestamp_timeout=60

su命令用于变更为其他使用者的身份。

1.从root用户切换为一般用户

su test

 从root用户切换为一般用户，不需要输入test用户的密码，直接使用su test命令即可进入到test用户中。 

 

 在终端输入exit或使用快捷方式ctrl+d，可以退回到原来用户，前提：我们是使用root用户从终端切换进入到了一般用户。

2.从普通用户切换到root用户

su root

 从一般用户切换到root用户需要输入密码。 ———————————————— 版权声明：本文为CSDN博主「y_bccl27」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 原文链接：https://blog.csdn.net/y_bccl27/article/details/86674425

以上就是良许教程网为各位朋友分享的Linux相关知识。