su与sudo命令介绍及主要用法

前言

大家在自己实验服务器上可能不会用到su与sudo命令，因为一直用着root用户进行操作。但是在实际生产环境，运维人员是不会拿到root的权限的。尤其在甲方，更加的难给到运维root权限。我就遇到过此类现象，之前实习生让安装部署个mysql、redis等中间件时，他还傻傻问人家甲方用root用户密码，这不被甲方喷就算好的了。实际上通过su与sudo是足够完成的了。本文也带大家一起来使用su与sudo，避免你有一天被人家喷不懂用！

su命令介绍及主要用法

首先需要解释下su代表什么意思。

之前一直以为su是super user，查阅资料之后才知道原来表示switch user。

知道su是由什么缩写来的之后，那么它提供的功能就显而易见了，就是切换用户。

-参数

su的一般使用方法是：

su``

或者

su-``

两种方法只差了一个字符-，会有比较大的差异：

如果加入了-参数，那么是一种login-shell的方式，意思是说切换到另一个用户之后，当前的 shell 会加载对应的环境变量和各种设置；

如果没有加入-参数，那么是一种non-login-shell的方式，意思是说我现在切换到了，但是当前的 shell 还是加载切换之前的那个用户的环境变量以及各种设置。

光解释会比较抽象，我们看一个例子就比较容易理解了。

我们首先从 ubuntu 用户以non-login-shell的方式切换到 root 用户，比较两种用户状态下环境变量中PWD的值（su命令不跟任何，默认切换到 root 用户）：

rumenz@local:~$env|grepubuntu
USER=ubuntu
PWD=/home/ubuntu#是/home/ubuntu
HOME=/home/ubuntu
#省略......
rumenz@local:~$su#non-login-shell方式
Password:#输入root用户登录密码
rumenz@local:/home/ubuntu#env|grepubuntu
PWD=/home/ubuntu#可以发现还是/home/ubuntu
rumenz@local:/home/ubuntu#

我们的确是切换到 root 用户了，但是 shell 环境中的变量并没有改变，还是用之前 ubuntu 用户的环境变量。

接着我们从 ubuntu 用户以login-shell的方式切换到 root 用户，同样比较两种用户状态下环境变量中PWD的值：

rumenz@local:~$env|grepubuntu
USER=ubuntu
PWD=/home/ubuntu#是/home/ubuntu
HOME=/home/ubuntu
#省略.......
rumenz@local:~$su-#是login-shell方式
Password:
rumenz@local:~#env|greproot
USER=root
PWD=/root#已经变成/root了
HOME=/root
MAIL=/var/mail/root
LOGNAME=root
rumenz@local:~#

可以看到用login-shell的方式切换用户的话，shell 中的环境变量也跟着改变了。

总结：具体使用哪种方式切换用户看个人需求：

如果不想因为切换到另一个用户导致自己在当前用户下的设置不可用，那么用non-login-shell的方式；

如果切换用户后，需要用到该用户的各种环境变量（不同用户的环境变量设置一般是不同的），那么使用login-shell的方式。

切换到指定用户

前面已经介绍了，如果su命令后面不跟任何，那么默认是切换到 root 用户：

rumenz@local:~$su-
Password:#root用户的密码
rumenz@local:/home/ubuntu#

因为我们在1. 准备工作部分已经新建了一个 test_user 用户，并且我们也知道 test_user 用户的登录密码（root 用户设置的），我们就能从 ubuntu 用户切换到 test_user 用户：

rumenz@local:~$su-test_user
Password:#test_user用户的密码
$

-c参数

前面的方法中，我们都是先切换到另一个用户（root 或者 test_user），在哪个用户的状态下执行命令，最后输入exit返回当前 ubuntu 用户。

还有一种方式是：不需要先切换用户再执行命令，可以直接在当前用户下，以另一个用户的方式执行命令，执行结束后就返回当前用户。这就得用到-c参数。

具体使用方法是：

su--c"指令串"#以root的方式执行"指令串"

看个例子：

rumenz@local:~$cat/etc/shadow
cat:/etc/shadow:Permissiondenied#ubuntu用户不能直接查看/etc/shadow文件内容

rumenz@local:~$su--c"tail-n4/etc/shadow"
Password:#输入root用户密码
ubuntu:$1$fZKcWEDI$uwZ64uFvVbwpHTbCSgim0/07:::
ntp1775299999::
mysql1837699999::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/07:::
rumenz@local:~$#执行完马上返回ubuntu用户而不是root用户

这种执行方式和后面要介绍的sudo很像，都是临时申请一下 root 用户的权限。但还是有差异，我们接着往后看。

sudo命令介绍及主要用法

sudo的英文全称是super user do，即以超级用户（root 用户）的方式执行命令。这里的sudo和之前su表示的switch user是不同的，这点需要注意，很容易搞混。

我们先介绍sudo命令能做什么事情，然后说明为何能做到这些，以及如何做到这些。

主要用法

我们在 Linux 中经常会碰到Permission denied这种情况，比如以 ubuntu 用户的身份查看/etc/shadow的内容。因为这个文件的内容是只有 root 用户能查看的。

那如果我们想要查看怎么办呢？这时候就可以使用sudo:

rumenz@local:~$tail-n3/etc/shadow
tail:cannotopen'/etc/shadow'forreading:Permissiondenied#没有权限
rumenz@local:~$sudo!!#跟两个惊叹号
sudotail-n3/etc/shadow
ntp1775299999::
mysql1837699999::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/07:::
rumenz@local:~$

实例中，我们使用了sudo !!这个小技巧，表示重复上面输入的命令，只不过在命令最前面加上sudo。

因为我已经设置了sudo命令不需要输入密码，所以这里sudo !!就能直接输出内容。如果没有设置的话，需要输入当前这个用户的密码，例如本例中，我就应该输入 ubuntu 用户的登录密码。

两次相邻的sudo操作，如果间隔在5min之内，第二次输入sudo不需要重新输入密码；如果超过5min，那么再输入sudo时，又需要输入密码。所以一个比较省事的方法是设置sudo操作不需要密码。后面介绍如何设置。

sudo除了以 root 用户的权限执行命令外，还有其它几个用法，这里做简单介绍。

切换到 root 用户：

sudosu-

这种方式也能以login-shell的方式切换到 root 用户，但是它和su -方法是有区别的：

前者输入sudo su -后，需要提供当前用户的登录密码，也就是 ubuntu 用户的密码；

后者输入su -后，需要提供 root 用户的登录密码。

还有一个命令：

sudo-i

这个命令和sudo su -效果一致，也是切换到 root 用户，也是需要提供当前用户（ubuntu 用户）的登录密码。

我们现在切换到 test_user 用户，尝试显示/etc/shadow文件的内容：

rumenz@local:~$su-test_user
Password:#test_user的密码
$sudocat/etc/shadow
[sudo]passwordfortest_user:#test_user的密码
test_userisnotinthesudoersfile.Thisincidentwillbereported.
$

我们会看到倒数第二行中的错误提示信息，我们无法查看/etc/shadow的内容，这是为什么？为什么 ubuntu 可以使用sudo但是 test_user 不行呢？

这就涉及到sudo的工作原理了。

sudo工作原理

一个用户能否使用sudo命令，取决于/etc/sudoers文件的设置。

从 3.1 节中我们已经看到，ubuntu 用户可以正常使用sudo，但是 test_user 用户却无法使用，这是因为/etc/sudoers文件里没有配置 test_user。

/etc/sudoers也是一个文本文件，但是因其有特定的语法，我们不要直接用vim或者vi来编辑它，需要用visudo这个命令。输入这个命令之后就能直接编辑/etc/sudoers这个文件了。

需要说明的是，只有 root 用户有权限使用visudo命令。

我们先来看下输入visudo命令后显示的内容。

输入（root 用户）：

rumenz@local:~#visudo

输出：

#Userprivilegespecification
rootALL=(ALL:ALL)ALL

#Membersoftheadmingroupmaygainrootprivileges
%adminALL=(ALL)ALL

#Allowmembersofgroupsudotoexecuteanycommand
%sudoALL=(ALL:ALL)ALL

#Seesudoers(5)formoreinformationon"#include"directives:

#includedir/etc/sudoers.d
ubuntuALL=(ALL:ALL)NOPASSWD:ALL

解释下每一行的格式：

第一个表示用户名，如root、ubuntu等；

接下来等号左边的ALL表示允许从任何主机登录当前的用户账户；

等号右边的ALL表示：这一行行首对一个的用户可以切换到系统中任何一个其它用户；

行尾的ALL表示：当前行首的用户，能以 root 用户的身份下达什么命令，ALL表示可以下达任何命令。

我们还注意到ubuntu对应的那一行有个NOPASSWD关键字，这就是表明 ubuntu 这个用户在请求sudo时不需要输入密码，到这里就解释了前面的问题。

同时我们注意到，这个文件里并没有test_user对应的行，这也就解释了为什么 test_user 无法使用sudo命令。

接下来，我们尝试将 test_user 添加到/etc/sudoers文件中，使 test_user 也能使用sudo命令。我们在最后一行添加：

test_userALL=(ALL:ALL)ALL#test_user使用sudo需要提供test_user的密码

接下来我们再在 test_user 账户下执行sudo：

rumenz@local:~$su-test_user
Password:
$tail-n3/etc/shadow
tail:cannotopen'/etc/shadow'forreading:Permissiondenied
$sudotail-n3/etc/shadow#加上sudo
ntp1775299999::
mysql1837699999::
test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/07:::
$

可以看到，现在已经可以使用sudo了。

思考

我们已经看到了，如果一个用户在/etc/sudoers文件中，那么它就具有sudo权限，就能通过sudo su -或者sudo -i等命令切换到 root 用户了，那这时这个用户就变成 root 用户了，那这不对系统造成很大的威胁吗？

实际上的确是这样的。所以如果在编辑/etc/sudoers文件赋予某种用户sudo权限时，必须要确定该用户是可信任的，不会对系统造成恶意破坏，否则将所有 root 权限都赋予该用户将会有非常大的危险。

当然，root 用户也可以编辑/etc/sudoers使用户只具备一部分权限，即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条，这篇文章不再赘述。

二者的差异对比

我们已经看到：

使用su -，提供 root 账户的密码，可以切换到 root 用户；

使用sudo su -，提供当前用户的密码，也可以切换到 root 用户

两种方式的差异也显而易见：如果我们的 Linux 系统有很多用户需要使用的话，前者要求所有用户都知道 root 用户的密码，这显然是非常危险的；后者是不需要暴露 root 账户密码的，用户只需要输入自己的账户密码就可以，而且哪些用户可以切换到 root，这完全是受 root 控制的（root 通过设置/etc/sudoers实现的），这样系统就安全很多了。

一般都是推荐使用sudo方式。

审核编辑：刘清