一、su
什么是su?
su命令(简称是:substitute
或者 switch user
)用于切换到另一个用户,没有指定用户名,则默认情况下将以root用户登录。
为了向后兼容,su默认不改变当前目录,只设置环境变量 HOME
和 SHELL
(如果目标用户不是根用户,则加上 USER
和 LOGNAME
)。
常用选项
-
-c, --command=[command]
:指定执行的命令,然后恢复到原来的用户。 -
-, -l, --login
:将shell作为登录shell启动,其环境类似于实际登录。1. 清除所有的环境变量,除了 `TERM` 和通过 --whitelist-environment选项指定的变量。 2. 初始化环境变量:HOME, SHELL, USER, LOGNAM, PATH。 3. 变更目标用户的家目录。 4. 设置shell的第一个参数,即argv[0]为 - ,使shell成为登录shell。
-
-m, -p, --preserve-environment
:保留整个环境变量,例如,不会更新HOME
,SHELL
,USER
,LOGNAME
,此选项与--login
是互斥的,不要同时使用。 -
-s, --shell=[shell]
:切换用户后指定shell
而不是使用默认shell
,shell
使用的顺序如下:1. 通过 `--shell` 指定的优先级最高。 2. 如果 `--preserve-environment` 选项指定了,且设置了 `SHELL` 环境变量,则使用此shell。 3. 目标用户的passwd条目中列出的shell 4. 以上都没有,则默认使用 `/bin/sh`
-
-w, --whitelist-environment=[list]
:环境变量白名单,即如果指定了--login
时,不会重置白名单中指定的环境变量,但忽略HOME
、SHELL
、USER
、LOGNAME
和PATH
,list
格式通过逗号分隔, -
-h, --help
:打印帮助信息。 -
-V, --version
:打印版本信息。
使用实例
- 切换到普通用户
su - phoenix
或
su phoneix
- 切换到root用户
su -
或
su
- 切换用户时指定命令
su -c lssu -c 'ls -l /home/username' phoenix
切换到普通用户并指定命令,命令指定了选项和参数则用引号引上。
- 切换的时候指定shell
su -s /usr/bin/zsh
- 保留环境
su -p phoenix
- 对于像
Ubuntu
没有root密码,可使用如下方式切到root
sudo su -
su源码
man pages
二、sudo
什么是sudo?
sudo简称Super User Do,它允许非root用户运行通常需要超级用户权限的其他Linux命令。
获得root权限的方式
- 直接使用
ssh
root登录到主机
ssh root@[server_domain_or_ip]
- 使用
su
切换到root用户
su -
- 使用
sudo
临时获取root权限来执行需要root权限的命令,此时不会产出一个新的shell。
sudo [command]
什么是sudoers?
sudo
的配置文件即为:sudoers
,位置在:/etc/sudoers
sudoers
文件指示系统如何处理 sudo
命令(每个 sudo
用户可以做什么)。
什么是/etc/sudoers.d?
/etc/sudoers.d
是 /etc/sudoers
同级配置文件目录,一般情况不建议直接修改 /etc/sudoers
而是在 /etc/sudoers.d
目录下面新建自定义配置文件,配置规则与 /etc/sudoers
相同,此中任何没有以 ~
结尾的,且不包含 .
的文件会视作正确的配置文件,sudo
会读取所有配置文件追加到 sudo
配置中。
什么是Visudo?
由于 /etc/sudoers
任何语法错误将可能会引起系统崩溃的风险,而使用 visudo
会对配置文件作语法检查,防止配置错误阻塞 sudo
操作。
visudo
默认会使用 vi
作为文本编辑器,也可以配置 visudo
使用的编辑器。
在Ubuntu上配置
sudo update-alternatives --config editor
Output
There are 4 choices for the alternative editor (providing /usr/bin/editor).Selection Path Priority Status
------------------------------------------------------------
* 0 /bin/nano 40 auto mode1 /bin/ed -100 manual mode2 /bin/nano 40 manual mode3 /usr/bin/vim.basic 30 manual mode4 /usr/bin/vim.tiny 10 manual modePress <enter> to keep the current choice[*], or type selection number:通过编号来选择合适的编辑器
在CentOS上配置
export EDITOR=`which [编辑器名称]`
. ~/.zshrc
或 source ~/.zshrc加载生效
怎么修改sudoers文件?
使用 sudo visudo
会打开 /etc/sudoers
文件
sudoers
权限行解释:
root ALL=(ALL:ALL) ALL%admin ALL=(ALL) ALL#includedir /etc/sudoers.d
-
root表示此规则是给root用户使用的。
-
第一个
ALL
表示此规则可应用所有的主机。 -
第二个
ALL
表示root用户可以以所有用户身份执行命令。 -
第三个
ALL
表示root用户可以以所有用户组身份执行命令。 -
第四个
ALL
表示root用户可以执行所有命令。 -
%admin
,以%
开头是组名,表示只要用户属于admin组,则可以有以上指定的所有权限。 -
正常情况以
#
号开头的被视作注释,但此处#includedir
被解析为引入文件的指令。
怎么授予普通用户sudo权限?
最简单的方式是把用户加入超级权限组
- 例如在
Ubuntu
上,使用sudo
组作为超级权限组,则可以把普通用户加入sudo
组。
sudo usermod -aG sudo [username]或使用 `gpasswd` 命令sudo gpasswd -a [username] sudo
- 在
CentOS
上,通常是使用wheel
组作为超级权限组。
%wheel ALL=(ALL) ALL
怎么自定义sudoers的规则?
除了使用单个用户或用户组指定一行规则,还可以使用一种称之为别名的方式来分组指定。
- 用户别名
User_Alias FULLTIMERS = albert, ronald, ann此处指定了一个用户别名 FULLTIMERS,里面包括三个用户名,分别用逗号隔开,表示里面每一个用户都应用此规则。应用示例如下:FULLTIMERS ALL=(ALL) ALL
- 所有者身份别名
Runas_Alias OP = root, operator此处指定了一个所有者身份别名,OP,里面包括三个用户身份,分别用逗号隔开,表示运行命令后能用OP里面任一身份。应用示例如下:[username/group] ALL=(OP) ALL
- 主机别名
Host_Alias PRODSERVERS = master, mail, www, ns此处指定了一个主机别名 PRODSERVERS,里面包含四个主机名,分别用逗号隔开,表示运行命令能应用与任一主机。应用示例如下:[username/group] PRODSERVERS=(ALL) ALL
- 执行的命令别名
Cmnd_Alias POWER = /sbin/shutdown, /sbin/halt此处指定的命令组别名,多个命令用逗号隔开,表示能应用命令组中的任一命令。应用示例如下:[username/group] ALL=(ALL) POWER
- 希望允许用户以root权限执行命令而无需输入密码
[username/group] ALL = NOPASSWD: [command] 如:GROUPONE ALL = NOPASSWD: /usr/bin/updatedb
- 同时指定无需密码的命令和需要密码的命令
[username/group] ALL = NOPASSWD: [command1], PASSWD: [command2]如:GROUPTWO ALL = NOPASSWD: /usr/bin/updatedb, PASSWD: /bin/kill
- 通过
NOEXEC
限制用户不能执行指定的命令
[username/group] ALL = NOEXEC: /usr/bin/less
- 取反操作,即除某某之外的意思
示例一
jane ALL = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root以上表示jane可以修改除root之外的任何人的密码
示例二
jen ALL, !PRODSERVERS = VIEWSHADOW以上表示jen可以在除PRODSERVERS之外的所有机器上运行VIEWSHADOW命令
sudo常用的选项
- 指定用户的身份执行命令,需要在配置文件设定好的
sudo -u [username] [command]sudo -g [groupname] [command]
- 修改
sudo
密码有效期
sudo
密码有效期默认是5分钟,通过以下配置可设置有效期
Timeout_Spec = [time]时间格式:超时可以以天、小时、分钟和秒的组合形式指定,并以不区分大小写的单字母后缀表示时间单位。例如,7天8小时30分10秒的超时将写入'7d8h30m10s'。如果指定的数字没有单位,则假定为秒。天、分、小时或秒中的任何一个都可以省略。顺序必须从最大单位到最小单位,一个单位不能指定多次。
- 延长(验证、刷新有效期)
sudo
密码有效期
sudo -v
- 立即让
sudo
密码过期,终止当前用户的特权
sudo -k
- 列出当前用户
sudo
配置的权限
sudo -l
- 重复上一条命令
应用场景:当执行需要 `sudo` 的命令时,忘记输入了 `sudo` 前缀,此处只需 sudo !! 即可
- 指定重复之前的第几条命令
sudo !66是第几条命令
- 一个有趣的配置
在配置文件中添加如下行
Defaults insults
当密码输错之后,会输出如下信息:
Output
[sudo] password for demo: # enter an incorrect password here to see the results
Your mind just hasn't been the same since the electro-shock, has it?
[sudo] password for demo:
My mind is going. I can feel it.sudo 会侮辱用户(假笑):电击之后你的思维就不一样了,是吗?
- 打印版本号
sudo -V
- 打印帮助信息
sudo -h 或 -help
- 在后台运行命令
sudo -b [command]
- 非交互式运行
sudo
,不询问密码
sudo -n [command]
- 指定运行的shell
sudo -s [command]如果设置了shell环境变量,-s选项将运行shell指定的shell,或者运行文件passwd中指定的shell。
- 设置家目录
sudo -H [command]-H选项将HOME环境变量设置为目标用户的主目录(默认为root),如passwd中指定的。默认情况下,sudo不修改HOME。
- 停止解析命令行参数
sudo -- [command]
- 在一行运行多个命令
sudo ls; whoami; hostname多个命令用分号隔开
sudo官网
看 Sudo Manual、Sudoers Manual、Visudo Manual即可