su用户身份切换与sudo提权

su用户切换与sudo提权

因为root用户的权限太大，容易对系统造成强大破坏，安全风险极高，所以通常情况下生产环境的服务器对外都是禁止root用户直接登录的，通常都是使用普通用户来管理系统，为了让普通用户拥有root权限又能保证服务器的安全，就需要用到su与sudo命令。

• 1、su：切换身份。
  • 优点：简单
  • 缺点：1、需要知道root密码（不安全）。2、权限控制不精细（会获取所有root权限）
• 2、sudo：提取部分管理员权限，不用切换到root账户下。
  • 优点：1、不需要知道root密码（只用输入自己的密码）。2、权限控制更为精细（可以只获取部分root权限）
  • 缺点：相对复杂

su切换用户

在Linux中shell可以分两类：

• 登录shell，需要输入用户名和密码才能进入shell。
• 非登录shell，不需要输入用户名和密码就能进入shell，比如运行bash会开启一个新的会话窗口。

shell的使用有两种：

• 交互式：等待用户输入执行的命令。
• 非交互式：执行shell脚本，执行结束后shell自动退出。

bash配置文件（主要保存用户的工作环境）

全局配置文件：

• /etc/profile
• /etcprofile.d/*.sh
• /etc/bashrc

个人配置文件：

• ~/.bash_profile
• ~/.bashrc

profile类文件：设定环境变量，登录前运行的脚本和命令。

bashrc类文件：设定本地变量，定义命令别名。

注：如果全局配置和个人配置冲突，以个人配置为准。

配置文件加载顺序

• 登录式shell

/etc/profile -> /etc/profile.d/*.sh -> ~/.bash_profile -> ~/.bashrc -> /etc/bashrc

• 非登录式shell

~/.bashrc -> /etc/bashrc -> /etc/profile.d/*.sh

# 非登录式shell：只切换用户身份
su 用户名

# 登录式shell：身份与环境都切换
su - 用户名

# -c选项切换身份执行命令
su - 用户名 -c “命令”
# root切换到普通用户不需要，反之需要。

sudo提权

sudo命令不需要知道root用户密码，并且能仅划分一部分权限给普通用户，相比于su更安全。sudo可以切换

sudo配置

• 1、visudo命令（会提示语法错误，推荐使用）

  # visudo的本质也是调用vi来修改/etc/sudoers文件,该文件涉及权限问题,如果配置错误会导致系统问题。推荐使用visudo命令，它会在退出时有错误提示。
  -c：检查配置是否正确
  

• 2、vim /etc/sudoers修改配置文件。

/etc/sudoers配置方式

# 基本格式
user/group	ALL=(ALL)	ALL

• user/group:

  • 表示允许哪个用户或组可以使用sudo

    • # 可以指定具体某个用户，也可以将多个用户添加到别名里
      User_Alias ADMINS =chirou, panghu
      ADMIN	ALL=（ALL）	ALL
      
      # 指定系统组，在组名前面加上%
      %group	ALL=（ALL）	ALL
      

• 第一个ALL：

  • 表示允许在哪台主机登录

    • # 可以指定主机ip或主机名，指定的是服务端ip，与从哪个客户端连接无关。
      user	192.168.0.2=（ALL）	ALL
      
      # /etc/sudoers文件可以共享复制到多部主机上,这样只修改一份文件,指定哪个用户可以在哪台主机使用sudo命令,就可以直接拷贝到其他主机上,非该主机用户不能使用sudo,这样就能分主机管理,互不影响。
      

• 第二个ALL：

  • 表示能转换成哪个用户

    • # 胖虎可以在所有主机上转换成所有用户执行任何命令
      panghu	ALL=(ALL)	ALL
      

• 第三个ALL：

  • 表示转换后能执行的命令

    • # ALL表示所有命令，可以使用绝对路径指定某些命令
      /usr/sbin/ifconfig，/bin/vim /f1
      
      # 指定不能使用某些命令
      !/bin/vim /f1
      
      # 指定使用某些命令不需要输入密码
      NOPASSWD：/usr/sbin/ifconfig
      
      # 可以使用命令别名
      NOPASSWD:命令别名
      

sudo执行流程

• 1、普通用户执行sudo命令，会检查/var/db/sudo是否存在时间戳缓存
• 2、如果存在则不需要输入密码，否则需要输入用户与密码
• 3、输入密码会检查是否是该用户、是否拥有权限。
• 4、如果有则执行，没有则报错退出。

sudo常用选项

-l：登录用户下，执行命令显示当前用户有哪些权限。
-k：删除/var/db/sudo下面对应的时间戳的信息,下次执行sudo需要输入当前用户的密码，系统默认是五分钟。
-u：指定用户,可以指定/sbin/nologin用户，不指定则为root。
-b：将命令放入后台运行。

[chirou@duorou ~ ]$ tail /etc/passwd
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
# 指定/sbin/nologin用户
[chirou@duorou ~ ]$ sudo -u gdm touch /tmp/gdm
[sudo] chirou 的密码：
[chirou@duorou ~ ]$ ll /tmp/gdm
-rw-r--r--. 1 gdm gdm 0 10月 31 20:55 /tmp/gdm