su和sudo一 使用su命令臨時切換用戶1su的適用條件su命令就是切換用戶的工具，怎么理解呢？比如我們以普通用戶beinanuseradd，beinan用戶沒有root所擁有。解決辦法無法有兩個，一是退出beinanroot用戶登錄，但這種辦法并不是最好beinansuroot下root。我們可以看到當(dāng)然通過su切換是一種比較好的辦法；通過su可以在用戶之間切換，如果超級權(quán)限用戶root向普通或虛擬用戶切換不需要，什么是權(quán)力？這就是！而普通用戶切換到其它任何用戶都需要驗證；2su用法su[OPTIONl,login MAND至于更詳細(xì)的，請參看mansu3su范例su在不加任何參數(shù)，默認(rèn)為切換到root用戶，但沒有轉(zhuǎn)到root 變root登錄環(huán)境；用戶默認(rèn)的登錄環(huán)境，可以在/etc/passwd中查 ，S定義等；[beinan@localhost[beinan@localhost~] $su[root@localhostbeinan]#surootroot[beinan@localhost[beinan@localhost~] $[beinan@localhost~] $su-[root@localhost~]#su[beinan@localhost~]$surootsu[root@localhost~]#[beinan@localhost~]$sulinuxsirlinuxsirPassword:注：在這里輸入[linuxsir@localhost~]$pwd[linuxsir@localhost~]$idUIDGIDuid=505(linuxsir)gid=502(linuxsir)[linuxsir@localhost~][beinan@localhost~]$suclssurootrootrootPassword:注：在這里輸入root的anaconda-ks.cfgDesktopinstall.loginstall.log.syslogtestgrouptestgroupbeinantestgrouproot[beinan@localhost~]$pwd[beinan@localhost~]$id注：查看當(dāng)前用戶信息；uid=500(beinan)gid=500(beinan)groups=500(beinan)4、su優(yōu)缺點；suroot管理工具，只要把root的交給任何一個普通用戶，他都能切換到rootsuroot1010su來切換到超級權(quán)限的root，必須把root權(quán)限都告訴這10個用10rootrootWindows對系統(tǒng)操作的重大，都可能導(dǎo)致系統(tǒng)或數(shù)據(jù)損失；所以su工具在多人參與的系統(tǒng)管理中，并不是最好的選擇，susu應(yīng)該掌在少數(shù)用戶手中，這絕對是真理！所以而治的存在還是有一定道理的；二.sudo使用的su，也是受限制的1sudo適用條由于su對切換到超級權(quán)限用戶root后，權(quán)限的性，所以susu來切換到超級用哪些工具來完成與其相關(guān)的工作，這時我們就有必要用到sudo。通過sudo，我們能把某些超級權(quán)限有針對性的下放，并且不需要普通用戶知道root，所以sudo相對于權(quán)限性的su來說，還是比較安全的，所以sudo也能被稱為受限制的su；另外sudo是 的su；sudoroot（或其它指定切換到的用戶），然后以root（或其它指定的切換到的用戶）執(zhí)行命的配置文件/etc/sudoers來進(jìn)行2編寫sudo置文件/etc/sudoerssudo的配置文件是/etc/sudoers，我們可以用他的編輯工visodu示給我們錯誤信息；配置好后，可以用切換到您的用戶下，通過sudo-l來查看哪些命令是可以執(zhí)行或的；/etc/sudoers文件中每行算一個規(guī)則，前面帶有#號可以當(dāng)作是續(xù)行，這樣看來一個規(guī)則也可以擁有多個行；/etc/sudoers權(quán)規(guī)則；別名定義并不是必須的，但規(guī)則是必須的；3/etc/sudoers置文件中別名規(guī)則別名規(guī)則定義格式如下：Alias_TypeNAME=item1,item2,或Alias_TypeNAME=item1,item2,item3:NAME=item4,（Alias_Type）：Host_AliasUser_Alias（前面要Runas_Aliasrunassudo允許切換至的用戶；Cmnd_AliasNAME就是別名了，NMAE名是包含大寫字母、下劃線以及數(shù)合法的，sYNAMDA1SYNADitem按中文翻譯是項目，在這里我們可以譯成成員，如果一個別w用戶的主機名（或ip），如果您只是本地機操作，只通過hostname命令就能查看；用戶名當(dāng)然是在系統(tǒng)中存在的，在實存在的文件名（需要絕對路徑）；itemHost_Alias、User_Alias、Runas_Alias、Cmnd_Alias制約，定義什么類型的別名，就要有什么類型的成員相Host_Alias聯(lián)，比如是主機名（包括登錄的主機名）、ip地址（單個或整段）wUser_AliasRunas_AliasCmnd_Alias定義執(zhí)行命令的別名時，必須是系統(tǒng)存在的文Cmnd_Alias徑；其中Runas_AliasUser_AliasUser_Alias絕對不是同一個概念，Runas_Aliassudo切換到Runas_Alias下的成員；我們在規(guī)則中以實例進(jìn)行解可以通過\來續(xù)行；同一類型別名的定義，一次也可以定義幾個別4HT01Host_AliasHT02=st09,st10HT02，有兩個成員；4:HT02=st09,st10Host_Alias名、可以是單個ip（ip），也可以是網(wǎng)絡(luò)掩碼；如果是主機名，必須是多臺機器的網(wǎng)絡(luò)中，而且這些機器得能通過主機名相互通問才有效。那什么才算是通過主機名相互通信或呢？比如主機名，或通過主機名來。在我們局域網(wǎng)中，如果讓計算機通過主機名通信，必須設(shè)置/etc/resolv.confDNS名；在設(shè)置主機別名時，如果項目是中某個項目是主機名的話，可以通過hostname命令來查看本機的主機名，通過w命令查來看ip于主機別名的定義，看上去有點復(fù)雜，其實是很簡單。如果您不明白Host_Alias是怎么回事，也可以不用設(shè)置主機別名，在定義規(guī)則時通過ALL來匹配所有可能出現(xiàn)的主機情況。如User_AliasSYSAD=beinan,linuxsir,bnnnb,lanhaitunUser_AliasNETAD=beinan,bnnbNETAD，NETADUser_AliasWEBMASTER=linuxsirWEBMASTER，STER=linuxsir注：上面三行的別名定義，可以通過這一行來實現(xiàn)，注意：命令別名下的成員必須是文件 的絕對路徑Cmnd_AliasCmnd_AliasCmnd_AliasKILL=/usr/bin/killAGCmnd_AliasS=/usr/bin/csh,/usr/bin/ksh,/usr/local/bin/tcsh,/usr/bin/rsh,Cmnd_AliasSU=在上面的例子中，有KILL和AG令別名定義，我們可以合Cmnd_AliasKILL=/usr/bin/kill:AG/usr/sbin/reboot,/usr/sbin/haltKILLRunas_AliasOP=root,Runas_AliasDBADM=mysql:OP=root,operator注：這行是上面兩行的等價行；至于怎么理解Runas_Alias，須得通過4、/etc/sudoers中的規(guī)規(guī)則是分配權(quán)限的執(zhí)行規(guī)則，我們前面所講到的定義別名主 接，所以在規(guī)則中別名并不是必須的；法，如果您想詳細(xì)了解規(guī)則寫法的，請參看mansudoers這三個要素，但在動作之前也可以指定切換到特定用戶下，在這里指定切換的用戶要用()號括起來，如果不需要直接運NOPASSWD:參數(shù)，但這些可以省略；舉例說明；beinanALL=/bin/chown,/bin/如果我們在/etc/sudoersbeinanroot/bin/chown和/bin/od命令，通過sudo-l來查看beinan在這臺主機上允許和運行令；/bin/shown和/bin/od命令；在省略的情況下默認(rèn)為是切換到碼，如果省略了，默認(rèn)為是需要驗證。為了更詳細(xì)的說明這些，我們可以構(gòu)造一個更復(fù)雜一點的用戶主機=[(切換到哪些用戶或用戶組)][是否需要驗證]命令1,[(切換到哪些用戶或用戶組)][是否需要驗證][命令2],[(切換到哪些用戶或用戶組)][是否需要驗證][命令3]....凡是[]中的內(nèi)容，是可以省略；命令與命令之間用,號分隔；通ALLbeinanALL=(root)/bin/chown,/bin/如果我們把第一個實例中的那行去掉，換成這行；表示的是beinanroot執(zhí)行/bin/chown，可以切換到任何用戶招執(zhí)行/bin/od命令，通過sudo-l來查看beinan在這臺主機上允許和運行令；beinanALL=(root)NOPASSWD:/bin/chown,/bin/beinan可以在任何可能出現(xiàn)的root/bin/chown，不需要輸入beinan用戶的；并且可以切換到任何用戶下執(zhí)行/bin/od命令，但執(zhí)行od時需要beinan輸入自己的；通過sudo-l來查看beinan在這臺主機上允許和運行令；關(guān)于一個命令動作是不是需要，我們可以發(fā)現(xiàn)在系統(tǒng)在默認(rèn)的情況下是需要用戶的，除非特加不需要用戶需要輸入自己NOPASSWD:參數(shù)；有可能有的弟兄對系統(tǒng)管理令不太懂，不知道其用法，這樣sudoersbeinanmore/etc/shadow[beinan@localhost~]$more/etc/shadow/etc/shadow:這時我們可以用sudomore/etc/shadow來文件的內(nèi)容；就就需要在/etc/soduersbeinansurootvisudo/etc/sudoers（beinan[beinan@localhost~]$suPassword:root下面運行visodu；[root@localhostbeinan]#visudovisudovi，visudo也是用的vivi；beinanALL=/bin/morebeinanrootmore來查看文beinanexit[root@localhostbeinan]#exit[beinan@localhost~]beinansudo[beinan@localhost~]$sudo-Password:beinanUserbeinanmayrunthefollowingcommandsonthishost:morerootmore，可以查看任何文本文件的內(nèi)容(root)beinan/etc/shadow[beinan@localhost~]$sudomorebeinan/etc/shadow[beinan@localhost~]$sudomore對于beinan用戶查看和所有系統(tǒng)文件中，我只想/etc/shadowbeinanALL=/bin/more題外話：有的弟兄會說，我通過surootsudo嗎？如果主機上有多個用戶并且不知道root用戶的，但又想查看某些他們看不到的文件，這時就需要管理員了；這就是sudo的實例五：練習(xí)用戶組在/etc/sudoers中寫法/etc/sudoers如%beinan；%beinan/etc/sudoersbeinan下的所有成員，在所有可能的出現(xiàn)的主機名下，都能切換到root用戶下運行/usr/sbin/sbin下的所有命令；實例六：練習(xí)取消某類程序的執(zhí)行beinanALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk行規(guī)則加入到/etc/sudoers中；但您得有beinan這個用戶組，并且beinan本規(guī)則表示beinan/usr/sbin/sbinfdisk[beinan@localhost~]$sudo-Password:注：在這里輸入beinan用戶的UserUserbeinanmayrunthefollowingcommandsonthishost:(root)/usr/sbin/*(root)/sbin/*(root)!/sbin/fdisk[beinan@localhost~] $/sbin/fdisk-Sorry,userbeinanisnotallowedtoexecute'/sbin/fdisk-l'asrootonrootfdisk實例七：別名的運用的實踐；localhost，hostnameALLbeinan、linuxsir、lanhaitun用戶；主要是通過小例子能更好理解；sudomansoduers；User_AliasUser_AliasUser_AliasRunas_AliasOP=rootwd[A-Za-z]*,!/usr/bin/passwdCmnd_AliasDSKCMD=/sbin/parted,/sbin/fdiskSYSADERALL=SYDCMD,DSKCMDDISKADERALL=(OP)DSKCMDSYSADERbeinan、linuxsirDISKADERRunasOP，下有成rootSYSCMD的!/usr/bin/passwdroot表示不能通過passwd來更改root；第五行：定義命令別名DSKCMDpartedfdisk；第六行：表示SYSADER下的所有成員，在所有可能存在的主機名的主機下運行或SYDCMD和DSKCMD下定義令。更為明確遙說，beinan、linuxsir和beinan用戶組下的成員能以root運行chown、od、adduser、passwd，但不能更改root的；也可以以root運行parted和fdisk，本條規(guī)則的等價規(guī)則是；[A-Za-z]*,!/usr/bin/passwdroot,/sbin/parted,/sbin/fdisk第七行：表示DISKADER下的所有成員，能以O(shè)P的，來運行DSKCMD，不需要；更為明確的說lanhaitun能以root身份運行partedfdisk命令；其等價規(guī)則是：lanhaitunALL=(root)可能有的弟兄會說不輸入用戶的就能切換到root并運行SYDCMD和DSKCMD下令，那應(yīng)該把把NOPASSWD:加在哪里為SYSADERALL=NOPASSWD:SYDCMD,NOPASSWD:5、/etcsudoers在規(guī)則中，還有NOEXEC:和EXEC的用法，自己查mansudoers這些內(nèi)容不多說了，畢竟只是一個性的文檔。soduers配置文件要多簡單就有多簡單，要多難就有多難，就看自己的應(yīng)用了。6、sudo我們面講的/etc/sudoers的規(guī)則寫法，最終的目的是讓用戶通過sudo配置文件中的規(guī)則來實現(xiàn)匹配和，以便替換mansudosudo[參數(shù)選項]命令-l列出用戶在主機上可用的和被令；一般配置-vsudo后，輸入用戶的后，在短時間內(nèi)可以不用輸令來直接進(jìn)行sudo操作；用-v可以-u-k刪除時間戳，下一個sudo命令要求用求提供；visudoetc/sudoers[A-Za-z]*,!/usr/bin/passwdroot,/sbin/parted,/sbin/fdiskbeinansudo命令或被用令；[beinan@localhost~]$sudolPassword:注：在這里輸入您的用戶Userbeinanmayrunthefollowingcommandsonthishost:(root)/bin/chownrootchown(root)/bin/od注：可以切換到root下用od命令；(root)/usr/sbin/adduserroot(root)/usr/bin/passwd[A-Za-z]*rootpasswd(ro