su
站在用户的角度思考问题,与客户深入沟通,找到贵德网站设计与贵德网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站设计、成都做网站、企业官网、英文网站、手机端网站、网站推广、域名申请、雅安服务器托管、企业邮箱。业务覆盖贵德地区。
su的全称并不是super user,而是switch user,是不是就突然明白了?是切换用户的意思。su的一般使用方法是su 或者su -,两种方法虽然只差了1个字符,但也是有比较大的差异的。
加入了-参数,就是login-shell的方式,也就是说切换到另一个用户之后,当前的shell会加载对应的环境变量和各种设置;
如果没有加入-参数,就是non-login-shell的方式,也就是说当前的shell还是加载切换之前的那个用户的环境变量以及各种设置。
如果不想因为切换到另一个用户导致自己在当前用户下的设置不可用,那么就可以用non-login-shell的方式;如果切换用户后,需要用到该用户的各种环境变量,那么使用login-shell方式即可。
sudo
全称为super user do,即以超级用户的方式执行命令,这里的超级用户指的就是root用户,我们在Linux中有时会遇到permission
denied的情况,如以ubuntu用户的身份查看/etc/shadow的内容,因为局滚它是只有root用户才能查看的,这个时候就可以使用sudo。
两者的区别在于:
使用su - 提供root账号的密码,可以切换到root用户;
使用sudo su -,提供当前用户的密码,也可以切换到root用户。
如果我们的Linux系统有很多用户需要使用的竖腊巧话,前者要求所有用户都知道root用户的密码,显然是非常危险的;后者余键是不需要暴露root账户密码的,用户只需要输入自己的账户密码就可以。
一、简介
sudo是Linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部root命令的一个工具。Linux系统下,为了安全,一般来说我们操作都是在普通用户下操作,但是有时候普通用户需要使用root权限,比如在安猜肢棚装软件的时候。这个时候如果我们需要切回root用户下。安装完毕后可穗则能还需再切回普通用户,这样饥团操作效率就会比较低,所以用sudo命令就会很方便。
执行sudo的时候相当于具备了root权限去执行命令,执行完毕后自动切回到普通用户
2.打开/etc/sudoers文件进行编辑
找到root ALL=(ALL) ALL ,加入
Linux下如何让普通用户具备sudo执行权限(普通用户提权)
我这里的普通用户是 zhangfei
首先还是需要知道root的密码
加入一行即可:
将该普通用户加入权限:
一种约束用户执行系统管理命令方面的安全机制,允许指定的用户以root身份执行指定的命令而不需要提供root密码。用过Ubuntu(Debian系)的小伙伴很有发言权。
当用户要执行比如systemctl stop httpd时,如果该用户不被允许使用systemctl stop命令,则命令无法运行,从而实现只允许指定用户(信任的小伙伴)才可运行相关系统、服务管理方面的命令;如果用户被允许使用该命令,sudo机制也会提醒用户输入其账号密码,从而存在一个缓冲的时间,可以让命令执行者脑袋清醒一下,确认无误后敲下回车。
Sudo应该是Switch User Do的简写(尚未考证),简单粗暴的翻译就是“切换用户干”,当指定sudo systemctl stop httpd命令时,事实上是以root用户的身份运行的。下面以Redha系CentOS7.6来介绍一下sudo的使用,通过visudo直接回车可看到:
图中可以看出默认有8个命令别名,每一个别名分别对应一些命令,比如PROCESS,是nice、kill、killall三个命令的别名。之所以要有别名,是因为将命令分门别类后便于后面的引用。
看懂语法,基本就可以搞定了。每个框框中注释部分说的很清楚。比如“%wheel ALL=(LL) NOPASSWD:ALL”表示wheel这个群组中稿世宏的用户可以在任何主机上执行任何命令且不需要输入密码。
用户名:ds
群组: testgroup
要求:只允许testgroup群组用户执行跟networking相关的命令
步骤:
1、 [endif]命令行中输入visudo回车—编辑/etc/sudoers文件
2、 [endif]去掉“Cmnd_Alias NETWORKING…“一行的的注释
3、 加入下面一行
4、 测试
可以看到ds用户执行ping是可以的,但是执行kill命令就不行了,即使使用sudo尝试使用root身份执行也不行:
通过/var/log/secure日志文件可以看的更详细:
常用实例讲解
1 .oracle用户可以在键册任何地点以任何的身份执行所有命令,等同于root。
oracle ALL=(ALL) ALL
2. oracle2用户可以在任何地点以root的身份执行命令useradd(无需密码)和usermod(需要密码).
这样oracle2就可以免密码useradd,有密码(密码为oracle2的自身密码)使用userdel。
oracle2 ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel
使用方式如下
[oracle2@centos74 ~]$ useradd test001 # 直接使用命令是不可以的。
-bash: /usr/sbin/useradd: Permission denied
[oracle2@centos74 ~]$ sudo useradd test001 # 必须加sudo
[oracle2@centos74 ~]$ id test001 返槐 # 查看添加的用户信息
uid=1031(test001) gid=1032(test001) groups=1032(test001)
3. oracle3用户只能在192.168.1.120主机远程登录并以root身份执行ifconfig eth0命令。
Cmnd_Alias NETCMND = /sbin/ifconfig eth0
oracle3 192.168.1.120 = (root) NOPASSWD:NETCMND
4. oracle4用户可以执行/usr/sbin下的所有命令除了/usr/sbin/userdel
oracle4 ALL=(ALL) /usr/sbin/,!/usr/sbin/userdel
5. oracle5用户可以cat /var/log/secure*的文件
oracle5 ALL=(ALL) /bin/cat /var/log/secure*,!/bin/cat /var/log/secure* *
