相信很多测试员在刚开始接触Linux系统时,会对sudo(Substitute User DO)命令和su(Switch User)命令产生疑惑,明明都是可以用来切换用户的命令,却有两个呢,它们到底有什么区别呢?本文将带大家全面认识两者的作用及区别。
'su'与'sudo'
“su”是switch user的意思,那么它提供的功能就显而易见了,就是切换用户,想要使用su是必须知道root的密码,显然这样既死板又存在安全风险。
“sudo”全称是super user do,即以超级用户的方式执行命令,这里的超级用户指的就是root用户,“sudo”可以在没有root密码的情况下执行系统命令,“sudo”可以使用自己的账户密码来执行系统命令,这样就更加灵活。
显然,sudo因为更灵活而被广泛使用,那么接下来重点介绍一下sudo:
谁可以执行“sudo”?
我们可以运行'/usr/sbin/visudo'来添加/删除可以执行?'sudo'的用户列表:
“/usr/sbin/visudo”文件的屏幕截图如下所示:
默认情况下,sudo?列表类似于以下字符串:
注意:你必须是root用户才能编辑/usr/sbin/visudo文件。
授予sudo访问权限
在许多情况下,系统管理员(尤其是该领域的新手)会用命令“root ALL=(ALL)ALL”作为模板授予其他人无限制访问权限,这就可能带来安全隐患。
将“/usr/sbin/visudo”文件编辑为类似于以下模式的内容可能非常危险,除非你完全相信所有列出的用户。
sudo的参数
“sudo”配置起来非常灵活,可以精确配置需要运行的命令数量。
配置“sudo”的语法为:
以上语法可分为几个部分:
1.User_name:这是“sudo”用户的名称。
2.Machine_name:这是主机名,其中“sudo”命令有效。当您有很多主机时很有用。
3.(Effective_user):允许执行命令的“有效用户”。
为了更方便大家明白sudo的用法,下面根据实际情况举例:
问题1.有一个用户,该用户是数据库管理员。应该只向他提供数据库服务器(beta.database_server.com)上的所有访问权限,而不是任何主机上的访问权限。
对于上述情况,“sudo”行可以写成:
问题2.有一个用户“tom”,他应该在同一数据库服务器上以root以外的用户身份执行系统命令。
对于上述情况,“sudo”行可以写成:
问题3.有一个用户'cat',它应该只运行命令'dog'。
为了实现上述情况,我们可以将“sudo”写成:
问题4.如果需要向用户授予多个命令,该怎么办?
如果用户应该运行的命令数量少于10个,我们可以将所有命令放在一起,它们之间有空格:
一些alias示例,可用于代替'sudo'配置文件中的条目。
可以指定一个系统组来代替属于该组的用户,只需后缀“%”,如下:
问题5.在不输入密码的情况下执行“sudo”命令怎么样?
我们可以在不输入密码的情况下使用“NOPASSWD”标志执行“sudo”命令。
在这里,用户“adam”可以执行“PROCS”下所有命令,而无需输入密码。
与“su”相比,“sudo”提供了一个强大而安全的环境,具有较高的灵活性。此外,“sudo”配置很容易。一些Linux发行版默认启用了“sudo”,而当今的大多数发行版都需要启用它作为安全措施。
要将用户(bob)添加到sudo,只需以root身份运行以下命令即可。
前面讲了关于sudo,接下来也捎带说下su:
1.权限提升方式:
su用于切换用户,如果没有指定用户,默认切换到超级用户(root)。用户需要知道目标用户的密码。
2.权限控制:
su的权限控制较为简单,只能切换到目标用户的权限。
3.安全性:
因为需要知道目标用户的密码,su的安全性较低。
4.使用场景:
通常在需要切换到超级用户执行一系列命令时使用,但不推荐直接使用su切换到root用户,而是使用sudo提升权限。
5.使用示例:
5.1)切换到超级用户
su或者su-
5.2)切换到其他用户
su username
5.3)以其他用户身份执行命令
su-c“command”
如果看完还是一脸懵,那么就让它两来个横向对比吧:
| sudo | su |
---|
认证方式 | 需要输入执行命令的用户的密码 | 需要输入目标用户的秘密 |
用户切换 | 以目标用户(通常为root)的权限执行命令,但不切换用户 | 完全切换到目标用户,开启新的用户session |
安全性 | sudo可以提供更好的安全性,因为用户需要输入自己的密码,而不是目标用户的密码。此外,sudo可以记录用户执行的每个命令,提供了更好的审计和安全性 | 安全性较低,因为用户需要知道目标用户的密码,如果密码泄露,安全性就会受到威胁,从安全层面而言su要慎用 |
权限控制 | sudo的权限控制更为灵活,可以通过配置文件/etc/sudoers来定义哪些用户可以以何种方式执行哪些命令。这提供了细粒度的权限控制 | su的权限控制较为简单,只能切换到目标用户的权限。用户必须知道目标用户的密码,且su命令通常只允许在系统上拥有root密码的用户使用 |
执行环境 | 通常保留原始用户的环境变量,但可以通过参数修改(比如sudo-i) | 可以通过su-加载目标用户的环境变量和配置 |
日志记录 | 记录所有通过sudo执行的命令,便于审计 | 通常不会记录执行的命令详情 |
使用习惯 | 推荐在需要执行具体命令时提升权限,以提高安全性。适用于精确控制哪些用户可以以超级用户的身份执行哪些命令 | 适用于需要切换到超级用户执行一系列命令的场景 |
配置复杂度 | 通过/etc/sudoers进行配置,设置较为复杂但功能强大 | 没有配置文件,使用较为简单 |
推荐使用场景 | 在需要执行特权操作时使用,特别是在多用户环境中,由于其提供了更好的安全性和可追溯性 | 在需要长时间以另一个用户身份工作时使用,或者在没有sudo配置的系统中使用 |
有了这清晰的横向对比,相信你对两者的区别有了更深的认识了吧。
最后:
添加微信:atstudy-js 或者扫描下方二维码,备注“1”邀请你进入Python