在Linux的操作中经常会用到su 命令进行用户的切换和sudo命令获取root权限,su su- sudo三个命令经常弄混,下面简单的讲解下。
一、查看su的命令帮助信息:
pipci@openSUSE:~> su --help
用法:
su [选项] [-] [<用户> [<参数>...]]
将有效用户 id 和组 id 更改为<用户>的 id。
单个 - 视为 -l。如果未指定<用户>,将假定为 root。
选项:
-m, -p, --preserve-environment 不重置环境变量
-g, --group <组> 指定主组
-G, --supp-group <组> 指定一个辅助组
-, -l, --login 使 shell 成为登录 shell
-c, --command <命令> 使用 -c 向 shell 传递一条命令
--session-command <命令> 使用 -c 向 shell 传递一条命令
而不创建新会话
-f, --fast 向shell 传递 -f 选项(csh 或 tcsh)
-s, --shell <shell> 若 /etc/shells 允许,运行<shell>
-h, --help 显示此帮助并退出
-V, --version 输出版本信息并退出
pipci@openSUSE:~>
su(switch user)命令用于变更为其他使用者的身份,需要键入该使用者的密码。如果后面不加账户时系统默认为root账户,密码也root账户的密码。没有时间限制。通过上面的帮助信息可以知道su - 是命令su -l的简写。su -l的意思是使shell 成为登录shell,那么什么是登录shell那?
二、shell
1、什么是shell
shell简单的理解就是命令解释器,他将我们发出的指令转化为计算机能够理解的命令,只有通过他我们才能和计算机进行沟通,提供人机交互的接口。
2、什么是Bash shell
Unix的发展过程中出现了很多版本的shell,Linux默认使用的Bash shell就是其中的一个版本,Bash(Bourne-Again SHell )shell是Bourne shell(sh)的增强版
也是GUN计划的一部分,其他比较著名的shell比如C shell,这里就不做介绍了。
2、查看系统支持的shell (openSUSE系统下)
pipci@openSUSE:~> cat /etc/shells
/bin/ash
/bin/bash #Bash shell
/bin/csh #C Shell
/bin/dash
/bin/false
/bin/ksh
/bin/ksh93
/bin/mksh
/bin/pdksh
/bin/sh
/bin/tcsh
/bin/true
/bin/zsh
.......
pipci@openSUSE:~>
3、查看登录用户使用的shell
pipci@openSUSE:~> cat /etc/passwd
........
uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
vnc:x:487:486:user for VNC:/var/lib/empty:/sbin/nologin
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
pipci:x:1000:100:Pipci:/home/pipci:/bin/bash
pipci@openSUSE:~>
可以看出登录用户pipci使用的是/bin/bash 既Bash shell
4、登录shell (login shell)
获取bash shell的时候需要完整的登录流程,输入用户名和密码,就称为登录shell,比如通过ssh方式连接,或者由tty1 ~ tty6 登陆,需要输入用户的账号与密码,此时取得的 bash 就称为login shell
5、非登陆shell (non-login shell):
取得 bash 接口的方法不需要重复登陆的举动
比如你以 X window(图形界面) 登陆 Linux 后, 再以 X 的图形化接口启动终端机,此时该终端接口无需输入账号与密码,则为non-login shell
再比如你在原本的 bash 环境下再次执行 bash 这个命令,同样的也没有输入账号密码, 这个新的 bash (子程序) 也是 non-login shell
6、登录shell与非登陆shell的区别
执行logout命令,退出登录shell(不能退出非登录shell,可以判断当前是否为登录shell)。
pipci@openSUSE:~> logout #假设为登录shell,尝试退出
bash: logout: 不是登录 shell: 使用 `exit' #可以判断当下不是登录shell
pipci@openSUSE:~> su #切换用户,如果su后面不指定用户,默认指定为root
密码: #输入root密码
openSUSE:/home/pipci # logout #判断切换root用户后是否是登录用户
bash: logout: 不是登录 shell: 使用 `exit' #可以判断不是登录用户
openSUSE:/home/pipci # exit
exit
pipci@openSUSE:~> su - #通过su -命令使 shell 成为登录 shell
密码:
openSUSE:~ # logout #可以判断su -后是登录shell
pipci@openSUSE:~>
上面只是通过命令演示了登录和非登录,真正的区别在于登录shell会从新加载环境变量的,当使用su -命令切换为root用户时shell环境也会一同切换为root shell环境,非登录shell不会从新加载环境变量,通过su命令切换为root用户时shell环境不会一同切换为root shell环境,还是在普通用户环境,只有切换了Shell环境才不会出现PATH环境变量错误,也就是找不的命令的错误,因为在命令行下输入的每个命令都会从PATH环境变量对应的目录搜索相应命令的执行文件,不同的用户有不同的环境对应不同的PATH环境变量,也就是不同的命令搜索目录,这样就会造成有的命令普通环境无法找到,而且su切换成root用户以后,pwd一下,发现工作目录仍然是普通用户的工作目录;而用su -命令切换以后,工作目录变成root的工作目录了。
举例说明:
pipci@ubuntu:~$ pwd #查看工作目录
/home/pipci
pipci@ubuntu:~$ echo $PATH #产品普通用户PATH环境变量值
/usr/local/java/jre1.8.0_161/bin:/home/pipci/bin:/home/pipci/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
pipci@ubuntu:~$ su -
密码:
root@ubuntu:~# pwd #查看工作目录
/root
root@ubuntu:~# echo $PATH #产品root用户PATH环境变量值
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
root@ubuntu:~#
三、sudo
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。
在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。这样用户获得root权限后就可以肆无忌惮的做任何操作,这样万一用户设置的不当就有可能让整个系统瘫痪。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,记录在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,不同的发行版可能不一样,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。
由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号,例如Ubuntu、Mac OS X等。
sudo也有点类似Windows下面的以管理员身份运行这样的功能。但是sudo可配置性会更多些。
编辑sudo的配置文件/etc/sudoers一般不要直接使用vi(vi /etc/sudoers)去编辑,因为sudoers配置有一定的语法,直接用vi编辑保存系统不会检查语法,如有错也保存了可能导致无法使用sudo工具,最好使用visudo命令去配置。虽然visudo也是调用vi去编辑,但是保存时会进行语法检查,有错会有提示
1、查看sudo的命令帮助信息:
pipci@openSUSE:~> sudo -h
sudo - 以其他用户身份执行一条命令
usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file ...
选项:
-A, --askpass 使用助手程序进行密码提示
-b, --background 在后台运行命令
-C, --close-from=num 关闭所有 >= num 的文件描述符
-E, --preserve-env 在执行命令时保留用户环境
-e, --edit 编辑文件而非执行命令
-g, --group=group 以指定的用户组或 ID 执行命令
-H, --set-home 将 HOME 变量设为目标用户的主目录。
-h, --help 显示帮助消息并退出
-h, --host=host 在主机上运行命令(如果插件支持)
-i, --login 以目标用户身份运行一个登录 shell;可同时指定一条命令 #相当于su -
-K, --remove-timestamp 完全移除时间戳文件
-k, --reset-timestamp 无效的时间戳文件
-l, --list 列出用户权限或检查某个特定命令;对于长格式,使用两次
-n, --non-interactive 非交互模式,不提示
-P, --preserve-groups 保留组向量,而非设置为目标的组向量
-p, --prompt=prompt 使用指定的密码提示
-r, --role=role 以指定的角色创建 SELinux 安全环境
-S, --stdin 从标准输入读取密码
-s, --shell 以目标用户运行 shell;可同时指定一条命令 #相当于su
-t, --type=type 以指定的类型创建 SELinux 安全环境
-T, --command-timeout=timeout 在达到指定时间限制后终止命令
-U, --other-user=user 在列表模式中显示用户的权限
-u, --user=user 以指定用户或 ID 运行命令(或编辑文件)
-V, --version 显示版本信息并退出
-v, --validate 更新用户的时间戳而不执行命令
-- 停止处理命令行参数
pipci@openSUSE:~>