Loading

su用户身份切换与sudo提权

su用户切换与sudo提权

因为root用户的权限太大,容易对系统造成强大破坏,安全风险极高,所以通常情况下生产环境的服务器对外都是禁止root用户直接登录的,通常都是使用普通用户来管理系统,为了让普通用户拥有root权限又能保证服务器的安全,就需要用到su与sudo命令。

  • 1、su:切换身份。
    • 优点:简单
    • 缺点:1、需要知道root密码(不安全)。2、权限控制不精细(会获取所有root权限)
  • 2、sudo:提取部分管理员权限,不用切换到root账户下。
    • 优点:1、不需要知道root密码(只用输入自己的密码)。2、权限控制更为精细(可以只获取部分root权限)
    • 缺点:相对复杂

su切换用户

在Linux中shell可以分两类:

  • 登录shell,需要输入用户名和密码才能进入shell。
  • 非登录shell,不需要输入用户名和密码就能进入shell,比如运行bash会开启一个新的会话窗口。

shell的使用有两种:

  • 交互式:等待用户输入执行的命令。
  • 非交互式:执行shell脚本,执行结束后shell自动退出。

bash配置文件(主要保存用户的工作环境)

全局配置文件:

  • /etc/profile
  • /etcprofile.d/*.sh
  • /etc/bashrc

个人配置文件:

  • ~/.bash_profile
  • ~/.bashrc

profile类文件:设定环境变量,登录前运行的脚本和命令。

bashrc类文件:设定本地变量,定义命令别名。

注:如果全局配置和个人配置冲突,以个人配置为准。

配置文件加载顺序

  • 登录式shell

/etc/profile -> /etc/profile.d/*.sh -> ~/.bash_profile -> ~/.bashrc -> /etc/bashrc

  • 非登录式shell

~/.bashrc -> /etc/bashrc -> /etc/profile.d/*.sh

# 非登录式shell:只切换用户身份
su 用户名

# 登录式shell:身份与环境都切换
su - 用户名

# -c选项切换身份执行命令
su - 用户名 -c “命令”
# root切换到普通用户不需要,反之需要。

sudo提权

sudo命令不需要知道root用户密码,并且能仅划分一部分权限给普通用户,相比于su更安全。sudo可以切换

sudo配置

  • 1、visudo命令(会提示语法错误,推荐使用)

    # visudo的本质也是调用vi来修改/etc/sudoers文件,该文件涉及权限问题,如果配置错误会导致系统问题。推荐使用visudo命令,它会在退出时有错误提示。
    -c:检查配置是否正确
    
  • 2、vim /etc/sudoers修改配置文件。

/etc/sudoers配置方式

# 基本格式
user/group	ALL=(ALL)	ALL
  • user/group:

    • 表示允许哪个用户或组可以使用sudo

      • # 可以指定具体某个用户,也可以将多个用户添加到别名里
        User_Alias ADMINS =chirou, panghu
        ADMIN	ALL=(ALL)	ALL
        
        # 指定系统组,在组名前面加上%
        %group	ALL=(ALL)	ALL
        
  • 第一个ALL:

    • 表示允许在哪台主机登录

      • # 可以指定主机ip或主机名,指定的是服务端ip,与从哪个客户端连接无关。
        user	192.168.0.2=(ALL)	ALL
        
        # /etc/sudoers文件可以共享复制到多部主机上,这样只修改一份文件,指定哪个用户可以在哪台主机使用sudo命令,就可以直接拷贝到其他主机上,非该主机用户不能使用sudo,这样就能分主机管理,互不影响。
        
  • 第二个ALL:

    • 表示能转换成哪个用户

      • # 胖虎可以在所有主机上转换成所有用户执行任何命令
        panghu	ALL=(ALL)	ALL
        
  • 第三个ALL:

    • 表示转换后能执行的命令

      • # ALL表示所有命令,可以使用绝对路径指定某些命令
        /usr/sbin/ifconfig,/bin/vim /f1
        
        # 指定不能使用某些命令
        !/bin/vim /f1
        
        # 指定使用某些命令不需要输入密码
        NOPASSWD:/usr/sbin/ifconfig
        
        # 可以使用命令别名
        NOPASSWD:命令别名
        

sudo执行流程

  • 1、普通用户执行sudo命令,会检查/var/db/sudo是否存在时间戳缓存
  • 2、如果存在则不需要输入密码,否则需要输入用户与密码
  • 3、输入密码会检查是否是该用户、是否拥有权限。
  • 4、如果有则执行,没有则报错退出。

sudo常用选项

-l:登录用户下,执行命令显示当前用户有哪些权限。
-k:删除/var/db/sudo下面对应的时间戳的信息,下次执行sudo需要输入当前用户的密码,系统默认是五分钟。
-u:指定用户,可以指定/sbin/nologin用户,不指定则为root。
-b:将命令放入后台运行。
[chirou@duorou ~ ]$ tail /etc/passwd
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
# 指定/sbin/nologin用户
[chirou@duorou ~ ]$ sudo -u gdm touch /tmp/gdm
[sudo] chirou 的密码:
[chirou@duorou ~ ]$ ll /tmp/gdm
-rw-r--r--. 1 gdm gdm 0 10月 31 20:55 /tmp/gdm
posted @ 2020-11-01 21:50  吃了好多肉  阅读(739)  评论(0编辑  收藏  举报