簡短介紹

su與su -

su 切換到root用戶，但是並沒有轉到root用戶家目錄下，即沒有改變用戶的環境。

su - 切換到root用戶，並轉到root用戶的家目錄下，即改變到了root用戶的環境。

這個涉及到不同用戶下的環境變數的配置。 

sudo

通過sudo，我們能把某些超級許可權有針對性的下放，並且不需要普通用戶知道root密碼（sudo用的不是root密碼，而是當前用戶密碼），所以sudo相對於許可權無限制性的su來說，還是比較安全的，所以sudo也能被稱為受限制的su，另外sudo是需要授權許可的，所以也被稱為授權許可的su。

sudo執行命令的流程是當前用戶切換到root（或其他指定切換到的用戶），然後以root（或其他指定的切換到的用戶）身份執行命令，執行完成後，直接退回到當前用戶，而這些的前提是要通過sudo的配置文件/etc/sudoers來進行授權。

 

sudo的配置文件是/etc/sudoers,我們可以用他的專用編輯工具visodu來進行配置，配置好後，可以切換到您授權的用戶下，通過sudo -l來查看哪些命令是可以執行或禁止的。

之所以把這三個命令拿出來，是要提醒自己這三個命令是有區別的，在使用時遇到錯誤就要仔細想一下。

至於怎樣配置使用sudo，一般不做伺服器管理應該用不到，這裡不做詳細介紹，需要的時候可以去學習。

詳細介紹

一.su

su是最簡單的身份切換名，用su我們能夠進行不論什麼用戶的切換，一般都是su - username，然後輸入password就ok了，可是root用su切換到其它身份的時候是不須要輸入password的。起初我都是用su來切換的，後來老大看見了說我這樣的方式切換是不好的。你能夠嘗試其它的方式來切換。我認為這樣切換非常方便啊，那究竟是不好在哪裡呢。後面再看另外一種身份的切換方式就知道了。

​ 一般我們切換身份都是切換到root，然後進行一些僅僅有root能幹的事，比方改動配置文件。比方下載安裝軟體。這些都僅僅能是root才有許可權乾的事。切換到root能夠是單純的su，或者是su -和su - root，後面兩個是一樣的意思。

單純使用su切換到root，讀取變數的方式是non-login shell，這樣的方式下非常多的變數都不會改變。尤其是PATH。所以root用的非常多的命令都僅僅能用絕對路徑來運行。這樣的方式僅僅是切換到root的身份。

而用su -這樣的方式的話，是login shell方式，它是先以root身份登錄然後再運行別的操作。

​ 假設我們僅僅要切換到root做一次操作就好了，僅僅要在su後面加個-c參數就好了。運行完這次操作後。又會自己主動切換回我們自己的身份。非常方便。

​ 那麼假設有非常多人管理這個主機的話，那不是非常多人都要知道root的password嗎，並且可能有的人僅僅是單純的進行一次root操作就能夠了，這個時候，su方式就不是非常好，rootpassword越少人知道越好，越少人知道就越安全，這時就須要另外一種方式了。

二.sudo

相比於su切換身份須要用戶的password，常常性的是須要rootpassword，sudo僅僅是須要自己的password，就能夠以其它用戶的身份來運行命令。常常是以root的身份運行命令。也並不是全部人都能夠用sudo：

[eternity@izm5e2q95pbpe1hh0kkwoiz ~]$ sudo head -n 3 /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for eternity: 
eternity is not in the sudoers file.  This incident will be reported.

這裡我要查看/etc/shadow這個文件的前三行，可是卻發現看不了，提示的錯誤是說我當前這個用戶不在sudoers這個文件，所以sudo是依賴於/etc/sudoers這個配置文件的。

sudo的運行有這樣一個流程：

1. 當用戶運行sudo時，系統於/etc/sudoers文件里查找該用戶是否有運行sudo的許可權；
2. 若用戶具有可運行sudo的許可權。那麼讓用戶輸入用戶自己的password，註意這裡輸入的是用戶自己的password。
3. 假設password正確。變開始進行sudo後面的命令，root運行sudo是不須要輸入password的，切換到的身份與運行者身份同樣的時候。也不須要輸入password。

以下看看/etc/sudoers這個配置文件：

為何剛開始僅僅有root能運行sudo，切換到root身份通過visudo查看/etc/sudoers這個配置文件，假設是vim /etc/sudoers是能夠查看的，可是不能改動，由於sudoers這個文件是由語法的，僅僅能通過visudo來改動。第一個紅色方框那行代碼，這行代碼是什麼意思呢。

第一列root不用多說，是用戶賬號，第二列的ALL意思是登陸者的來源主機名，第三列等號右邊小括弧里的ALL是代表能夠切換的身份。第四列ALL是可運行的命令。

1).單個用戶的sudoers語法：
假設我要我當前這個用戶能運行root的全部操作，那麼我僅僅要加一行learnpython ALL=(ALL) ALL。那麼假設有非常多人須要運行sudo。那不是要寫編寫非常多行啊，這樣不是非常麻煩，這樣就要用到用戶組了。

2).利用用戶組處理visudo：
看看第二個紅色方框那行代碼。%wheel代表wheel用戶組。假設我們將須要運行root全部操作的用戶都加入到wheel用戶組，或者我們自己定義的用戶組。然後加入一行代碼。那麼就不用一個用戶一個用戶的加入進來了，這樣不是非常省事啊。

3).限制用戶sudo的許可權：
可是常常我們不須要用戶有那麼大的許可權。僅僅要讓他們具有他們負責範圍的許可權就能夠了。比方有的有的人來管理password，我們就僅僅讓他能進行password的管理，而不讓他有別的許可權，這樣就須要許可權的控制了。

假設我讓我當前用戶來管理password。即learnpython這個用戶能使用passwd這個命令來幫root改動用戶password。僅僅要加這行learnpython ALL=(root) /usr/bin/passwd，那麼learnpython這個用戶就能夠使用passwd這個命令了：

可是假設僅僅是運行sudo passwd命令，改動的就是root的password，當然我們不希望普通用戶能具有改動rootpassword的許可權，那麼在visudo的時候就須要將命令的參數限制好。如改成這樣：

[root@localhost ~]# visudo
learnpython    ALL=(root)    !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

4).通過別名設置visudo
查看sudoers這個文件的時候。你會看見User_Alias。Host_Alias和Cmnd_Alias這些東西，他們都是一些別名，User_Alias表示具有sudo許可權的用戶列表，就是第一列參數。Host_Alias表示主機的列表。就是第二列參數。Cmnd_Alias表示同意運行命令的列表，就是第四列參數。還有個Runas_Alias。我初始的sudoers里是沒有的，這個表示用戶以什麼身份登錄。也就是第三列參數。
所以假設有幾個password管理員的話就能夠加上例如以下代碼：

[root@localhost ~]# visudo
User_Alias PWMNG = manager1, manager2, manager3
Cmnd_Alias PWCMD = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
PWMNG    ALL=(root)    PWCMD


5).sudo搭配su
從上面來看。我們都僅僅是切換到別的用戶然後運行命令，接著就切回到我們自己的用戶了。假設我們要像su那樣直接切換到root。然後乾自己想乾的。這個時候，就要將命令改動成/bin/su -。例如以下：

[root@localhost ~]# visudo
User_Alias ADMINS = user1, user2, user3
ADMINS    ALL=(root)    /bin/su -
當然這個是須要謹慎了，由於這樣用戶user1。user2，user3等就直接切換到root了，切換後他們就是老大了。

有沒有發現，當我們連續使用sudo的時候，在一定時間內是不用再次輸入我們的password，這個事實上是系統自己設定的，在五分鐘之內運行sudo僅僅須要輸入一次password就能夠了。

3.總結

​ 瞭解完su和sudo，是不是發現sudo有太多的優點了。su方式切換是須要輸入目標用戶的password。而sudo僅僅須要輸入自己的password，所以sudo能夠保護目標用戶的password不外流的。當幫root管理系統的時候，su是直接將root全部權利交給用戶。而sudo能夠更好分工，僅僅要配置好/etc/sudoers，這樣sudo能夠保護系統更安全，並且分工明白，有條不紊。

站在巨人的肩膀上摘蘋果:

• https://www.cnblogs.com/slgkaifa/p/6852884.html
• https://www.cnblogs.com/torchstar/p/10326255.html