账户授权

 有这样一种场景，当管理员通过普通用户账户登录到设备时，突然有个需求需要操作，但该普通用户账户没有这个权限。这时，管理员只能退出设备，重新使用root账户登录。然后使用完成后，重新利用普通用户账户登录。这种方式无疑是繁琐而低效的。这里我们有两种处理的方式。一种是在线切换账户，相对应的命令是su。另一种则是让普通用户临时以root的身份执行操作，相对应的命令是sudo。下面我们将学习下这两个命令的使用方式。

1、su 切换用户账户，拥有该用户账户的操作权限

命  令

作  用

whoami

查看当前用户

su user1

在切换用户的同时，不改变环境变量

su - user1

在切换用户的同时，将环境变量都切换到该用户的环境变量

su -

切换到root用户下，环境变量也变为root用户的环境变量

su - -c "id" user1

使用user1这个账号去执行id命令

在执行以上命令的时候，普通用户需要切换用户的口令，而root用户可以使用su切换到任何用户下，而且不用输入密码。

测试示例：

<code>[root@server02 ~]</code><code># su user1</code>

<code>[user1@server02 root]$ </code><code>whoami</code>

<code>user1</code>

<code>[user1@server02 root]$ </code><code>echo</code> <code>$PATH</code>

<code>/usr/local/sbin</code><code>:</code><code>/usr/local/bin</code><code>:</code><code>/usr/sbin</code><code>:</code><code>/usr/bin</code><code>:</code><code>/root/bin</code>

<code>[user1@server02 root]$ </code><code>exit</code>

<code>exit</code>

<code>[root@server02 ~]</code><code># su - user1</code>

<code>上一次登录：二 5月 30 13:18:32 CST 2017pts</code><code>/0</code> <code>上</code>

<code>[user1@server02 ~]$ </code><code>echo</code> <code>$PATH</code>

<code>/usr/local/bin</code><code>:</code><code>/bin</code><code>:</code><code>/usr/bin</code><code>:</code><code>/usr/local/sbin</code><code>:</code><code>/usr/sbin</code><code>:</code><code>/home/user1/</code><code>.</code><code>local</code><code>/bin</code><code>:</code><code>/home/user1/bin</code>

<code>[user1@server02 ~]$ </code><code>exit</code>

<code>登出</code>

<code>[root@server02 ~]</code><code># su - -c "id" user1</code>

<code>uid=1000(user1) gid=1000(user1) 组=1000(user1) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023</code>

su的优缺点：

     su的确为管理带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他就能切换到root来完成所有的系统管理工作。但通过su切换到root后，也有不安全因素。比如系统有10个用户，而且都参与管理。如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root权限密码都告诉这10个用户；如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协；想想Windows吧，简直就是恶梦；“没有不安全的系统，只有不安全的人”，我们绝对不能保证这 10个用户都能按正常操作流程来管理系统，其中任何一人对系统操作的重大失误，都可能导致系统崩溃或数据损失；所以su 工具在多人参与的系统管理中，并不是最好的选择，su只适用于一两个人参与管理的系统，毕竟su并不能让普通用户受限的使用。超级用户root密码应该掌握在少数用户手中。

2、sudo 可以让普通用户临时以root的身份执行一条命令，该用户只需要知道自己的密码

    通过visudo命令打开sudo的配置文件（/etc/sudoers），可以进行一些关于sudo授权的配置。如定义host、user以及命令的别名等。

<code>## The COMMANDS section may have other options added to it.</code>

<code>##</code>

<code>## Allow root to run any commands anywhere</code>

<code>root    ALL=(ALL)       ALL</code>

<code>user1   ALL=(root)      NOPASSWD:/bin/ls,/bin/cat</code>

<code>@新增的上行中，user1表示用户，ALL表示所有来源IP，root表示root的权限，NOPASSWD表示不需要口令即可执行，/bin/ls和/bin/cat表示可执行的命令。</code>

<code>## Allows members of the 'sys' group to run networking, software,</code>

<code>## service management apps and more.</code>

<code># %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS</code>

<code>## Allows people in group wheel to run all commands</code>

<code>%wheel  ALL=(ALL)       ALL</code>

<code>@可以将相同权限的用户打包成组统一做策略。</code>

<code>## Same thing without a password</code>

<code># %wheel        ALL=(ALL)       NOPASSWD: ALL</code>

<code>[user2@server02 root]$ </code><code>sudo</code> <code>ls</code> <code>/root/</code>

<code>We trust you have received the usual lecture from the </code><code>local</code> <code>System</code>

<code>Administrator. It usually boils down to these three things:</code>

<code>    </code><code>#1) Respect the privacy of others.</code>

<code>    </code><code>#2) Think before you type.</code>

<code>    </code><code>#3) With great power comes great responsibility.</code>

<code>[</code><code>sudo</code><code>] password </code><code>for</code> <code>user2: </code>

<code>user2 不在 sudoers 文件中。此事将被报告。</code>

<code>[user1@server02 root]$ </code><code>sudo</code> <code>-l            @查看本账户支持的</code><code>sudo</code><code>命令</code>

<code>匹配此主机上 user1 的默认条目：</code>

<code>    </code><code>!visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR</code>

<code>    </code><code>LS_COLORS</code><code>", env_keep+="</code><code>MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",</code>

<code>    </code><code>env_keep+=</code><code>"LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"</code><code>, env_keep+="LC_MONETARY</code>

<code>    </code><code>LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE</code><code>", env_keep+="</code><code>LC_TIME LC_ALL LANGUAGE LINGUAS</code>

<code>    </code><code>_XKB_CHARSET XAUTHORITY", secure_path=</code><code>/sbin</code><code>\:</code><code>/bin</code><code>\:</code><code>/usr/sbin</code><code>\:</code><code>/usr/bin</code>

<code>用户 user1 可以在该主机上运行以下命令：</code>

<code>    </code><code>(root) NOPASSWD: </code><code>/bin/ls</code><code>, (root) </code><code>/bin/cat</code>

<code>[user1@server02 root]$ </code><code>sudo</code> <code>ls</code> <code>/root/</code>

<code>anaconda-ks.cfg  test1    test12</code>

<code>[user1@server02 root]$</code>

sudo 的适用条件：

   由于su对切换到超级权限用户root后，权限的无限制性，所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到sudo。     通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo相对于权限无限制性的su来说，还是比较安全的，所以sudo也能被称为受限制的su。另外sudo是需要授权许可的，所以也被称为授权许可的su。     sudo执行命令的流程是当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权。 %user1 ALL=/usr/sbin/*,/sbin/*     如果用户组出现在/etc/sudoers 中，前面要加%号，比如%user1，中间不能有空格：     如果我们在/etc/sudoers 中加上如上一行，表示user1用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令； 取消程序某类程序的执行，要在命令动作前面加上!号；在本例中也出现了通配符的*的用法。 user1 ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk  注：把这行规则加入到/etc/sudoers中；但您得有user1这个用户组，并且user1也是这个组中的才行；本规则表示user1用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk 程序除外。

3、su与sudo的区别

sudo：暂时切换到超级用户模式以执行超级用户权限，提示输入密码时该密码为当前用户的密码，而不是超级账户的密码。不过有时间限制，Ubuntu默认为一次时长15分钟。 su：切换到某某用户模式，提示输入密码时该密码为切换后账户的密码，用法为“su 账户名称”。如果后面不加账户时系统默认为root账户，密码也为超级账户的密码。没有时间限制。 sudo -i：为了频繁的执行某些只有超级用户才能执行的权限，而不用每次输入密码，可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。 其实，还有几个类似的用法： sudo /bin/bash：这个命令也会切换到root的bash下，但不能完全拥有root的所有环境变量，比如PATH，可以拥有root用户的权限。这个命令和 sudo -s是等同的； sudo -s：如上； sudo su：这个命令，也是登录到了root，但是并没有切换root的环境变量，比如PATH； sudo su -：这个命令，纯粹的切换到root环境下，可以这样理解，先是切换到了root身份，然后又以root身份执行了su - ，这个时候跟使用root登录没有什么区别。这个结果貌似跟sudo -i 的效果是一样的，但是也有不同，sudo 只是临时拥有了root的权限，而su则是使用root账号登录了linux系统。 所以，我们再来总结一下： sudo su -  约等于sudo -i  sudo -s    完全等于sudo /bin/bash，约等于sudo su  sudo 终究被一个"临时权限的帽子"扣住，不能等价于纯粹的登录到系统里。

@引用内容来源于网络，作为附加参考资料放入本篇。

本文转自Grodd51CTO博客，原文链接：http://blog.51cto.com/juispan/1936876，如需转载请自行联系原作者