一、su 命令
su命令用于切换用户。 超级权限用户root切换为普通用户且不需要密码时; 一般用户切换到其他用户需要密码认证。 (a用户切换到b时,需要输入b的密码。
1、su 的用法:
su [OPTION选项参数] [用户],参数说明:
-或-l :登录更改为切换的用户环境; -c :切换到相应的用户环境,执行命令并退出; 注意:
su不添加任何参数,缺省情况下会切换到root用户,但不会移动到root用户的主目录。 这意味着此时已切换到root用户,但root登录环境保持不变。su - root和su -功能相同,就是切换到root用户,并切换到root用户的环境。 示例1 :
[ root @ localhost~~ ] # useradd test [ root @ localhost~~ ] # passwdtestchangingpasswordforusertest.new password : bad passwordisshorterthan8charactersretypenewpassword 333 kensupdatedsuccessfully.[ root @ localhost~] # useraddu1[ root @ localhost~passwdu1changingpasswordforuseru1. new password : bad password 3360 thepasswordisshorterthan7chan 7 charactersretypenewpassword 3360 60 allauthenticationtokensupdatedsuccessfully.[ root @ localhost~] # su-test [ test @ locatest ] $ su-u1 password : [ u1 @ localhost~] $ pwd/home/u1 [ u1 @ localhost~] $ exit logout
示例2 :
[ u1 @ localhost~~ ] $ touchu1_ log [ u1 @ localhost~~ ] $ exit logout [ test @ localhost~~ ] $ su-c ' ls/home/u1
让我们先看看问题:
我们有时会用su切换用户,输入密码后一直提示“incorrect password”。 原因是su这个命令的权限设定问题。 要使用su命令切换到根用户,必须使用su命令设置suid特殊权限位。 具体方法如下。
#chmod 4755 /jqdzdj/su
reoot
重新启动后,我们看到了su命令,有“s”的标志。
[root@localhost ~]# ll /jqdzdj/su
-rwsr-xr-x.1根32184apr112018/jqdzdj/su
再来看看另一种情况:
我们的密码都存储在/etc/passwd文件中。 /etc/passwd文件只有root具有写入权限,其他用户只有读取权限。 那么,使用passwd命令更改密码后,如何写入该文件?
passwd命令最初具有特殊的权限标记s,它存在于文件所有者的权限位中。 这是一种特殊的权限SetUID,可以理解为如果对具有执行权限的文件设置了SetUID权限,则用户在运行该文件时将以文件所有者的身份运行。 passwd命令具有SetUID权限,所有者为root(Linux命令的所有缺省所有者均为root )。 这意味着当普通用户使用passwd更改自己的密码时,瞬间突然灵魂附身,实际上是以passwd命令所有者root的身份运行的。 root当然可以将密码写入/etc/shadow
2、SUID:
有时只需切换到某个用户并执行命令,然后退出。 上面我知道可以使用su切换用户,但是我需要知道用户的密码。 特别是切换到root时,需要知道root的密码。 这不安全。 这个时候我们可以用sudo。
在sudo中,可以有目的地委托特定的超级权限,一般用户不需要知道root密码,所以sudo对没有权限的su是安全的。 sudo执行命令的流程是当前用户切换到root (或其他指定切换到的用户),以root (或其他指定切换到的用户)的身份执行命令,执行完成后直接返回当前用户这些是sudo的配置文件二、sudo 命令、配置
p>注:sudo程序本身就是一个设置了SETUID位的二进制文件。它的所有者是root,所以每个用户都可以像root那样执行该程序,我们可以检查一下它的权限:
$ls -l /usr/jqdzdj/sudo
---s--x--x 2 root root 106832 02-12 17:41 /usr/jqdzdj/sudo
1、sudo命令:
1)参数:
sudo -u username#uid User 以指定用户的身份执行命令。后面的用户是除root以外的,可以是用户名,也可以是#uid。sudo -k Kill 清除“入场卷”上的时间,下次再使用sudo时要再输入密码。sudo -K Sure kill 与-k类似,但是它还要撕毁“入场卷”,也就是删除时间戳文件。sudo -b command 在后台执行指定的命令。2)特点:
sudo能够限制指定用户在指定主机上运行某些命令。sudo可以提供日志,忠实地记录每个用户使用sudo做了些什么,并且能将日志传到中心主机或者日志服务器。sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。sudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后,用户获得了一张默认存活期为5分钟的“入场券”(默认值可以在编译的时候改变)。超时以后,用户必须重新输入密码。2、sudo配置:
配置sudo有两种方法:(有超级用户才可以修改它)
直接使用vim编辑/etc/sudoers文件;使用visudo命令编辑。(防止两个用户同时修改,其次有语法检查)1)我们先做一个示范:
以root身份用visudo打开配置文件,可以看到类似下面几行:
# Runas alias specification
# User privilege specificationroot ALL=(ALL)ALL
我们在下面加一行(最好用tab作为空白):
foobar ALL=(ALL) ALL
保存退出后,切换到foobar用户,我们用它的身份执行命令:
[foobar@localhost ~]$ ls /root
ls: /root: 权限不够
[foobar@localhost ~]$ sudo ls /root
PassWord:
anaconda-ks.cfg Desktop install.log install.log.syslog
这时,我们发现可以查看/root目录了。
那么,现在让我们来看一下那三个ALL到底是什么意思。第一个ALL是指网络中的主机,我们后面把它改成了主机名,它指明foobar可以在此主机上执行后面的命令。第二个括号里的ALL是指目标用户,也就是以谁的身份去执行命令。最后一个ALL当然就是指命令名了。
2)限制用户使用sudo的权利:
我们限制一下foobar的权利,不让他为所欲为。比如我们只想让他像root那样使用ls和ifconfig,把那一行改为:
foobar localhost= /sjqdzdj/ifconfig, /jqdzdj/ls
再来执行命令:
[foobar@localhost ~]$ sudo head -5 /etc/shadow
Password:
Sorry, user foobar is not allowed to execute '/usr/jqdzdj/head -5 /etc/shadow' as root on localhost.localdomain.
[foobar@localhost ~]$ sudo /sjqdzdj/ifconfigeth0 Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B...
3)免密码:
很多时候,我们本来就登录了,每次使用sudo还要输入密码就显得烦琐了。我们可不可以不再输入密码呢?当然可以,我们这样修改配置文件:
foobar ALL=(ALL) NOPASSWD:ALL
再来sudo一下:
[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg Desktop install.log
install.log.syslog
4)指定用户:
我们想让foobar用户在linux主机上以烂漫的枕头或rene的身份执行kill命令,这样编写配置文件:
foobar linux=(烂漫的枕头,rene) /jqdzdj/kill
但这还有个问题,foobar到底以烂漫的枕头还是rene的身份执行?这时我们应该想到了sudo -u了,它正是用在这种时候。
foobar可以使用:sudo -u 烂漫的枕头 kill PID或者sudo -u rene kill PID
但这样挺麻烦,其实我们可以不必每次加-u,把rene或烂漫的枕头设为默认的目标用户即可。再在上面加一行:
Defaults:foobar runas_default=rene
Defaults后面如果有冒号,是对后面用户的默认,如果没有,则是对所有用户的默认。就像配置文件中自带的一行:
Defaults env_reset