一,sudo:
Sudo (substitute user [或 superuser] do),是一种程序,用于类Unix操作系统如BSD,Mac OS X,以及GNU/Linux以允许用户透过安全的方式使用特殊的权限运行程序 (通常为系统的超级用户)。
原理:
在sudo于1980年前后被写出之前[2],一般用户管理系统的方式是利用 su 切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”)[3];在一般用户需要获取特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟[4],可在/etc/sudoers自定义),使用sudo不需要再次输入密码。
由于不需要超级用户的密码,部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理账号,例如Ubuntu、macOS等。
语法:
sudo [-bhHpV][-s ][-u <用户>][指令]
或
sudo [-klv]
参数:
-b 在后台执行指令。
-h 显示帮助。
-H 将HOME环境变量设为新身份的HOME环境变量。
-k 结束密码的有效期限,也就是下次再执行sudo时便需要输入密码。
-l 列出目前用户可执行与无法执行的指令。
-p 改变询问密码的提示符号。
-s 执行指定的shell。
-u <用户> 以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份。
-v 延长密码有效期限5分钟。
-V 显示版本信息。
-S 从标准输入流替代终端来获取密码
维基百科:https://zh.wikipedia.org/wiki/Sudo
sudo官方网站:https://www.sudo.ws
sudo官方说明:https://www.sudo.ws/intro.html
二,su:
su命令,也被称为“替代用户”、“超级用户”或“切换用户”,是可以让计算机操作者在虚拟控制台切换当前用户帐户的命令。
没有其他命令行参数时,默认将会将当前用户提权至本地超级用户。
用法:
在命令行中运行时,su会要求目标用户的密码。如果验证通过,操作者将会授予该帐户的权限,并且允许访问该帐户可以访问的文件和目录。
john@localhost:~$ su
密码:
root@localhost:/home/john# exit
登出
john@localhost:~$
此外,还可以切换到另一个不是超级用户的帐户,例如su jane。
john@localhost:~$ su jane
密码:
jane@localhost:/home/john$ exit
登出
john@localhost:~$
一般来说,管理员应该使用一个连字号(su -,等同于su - root),来启动登录shell。这样,用户可以获得目标用户的用户环境:
john@localhost:~$ su - jane
密码:
jane@localhost:~$
相关的命令sudo也可以允许以另一个用户的身份执行命令,但遵守一组的限制,以决定哪些用户可以以什么用户身份执行什么命令(通常是在配置文件/etc/sudoers中,最好使用visudo编辑)。与su不同的是,sudo验证的是用户自己的密码,而不是目标用户的(允许特定主机上的特定用户执行特定命令,而不用共享密码,同时减轻无人值守终端的风险)。
一些类Unix系统有wheel组,且只允许组内用户su到root。[1]很难说这是否会降低安全风险,因为入侵者可能会轻易入侵其中一个帐户。然而,由于理念不同,GNU su不支持wheel组。理查德·斯托曼认为,由于wheel组会阻止用户使用泄露给他们root密码,现有的管理员就可以欺压普通用户。[2]