時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
一.?? 使用su 命令臨時切換用戶身份
1、su 的適用條件和威力
su命令就是切換用戶的工具,怎么理解呢?比如我們以普通用戶beinan登錄的,但要添加用戶任務(wù),執(zhí)行useradd ,beinan用戶沒有這個權(quán)限,而這個權(quán)限恰恰由root所擁有。解決辦法無法有兩個,一是退出beinan用戶,重新以root用戶登錄,但這種辦法并不是最好的;二是我們沒有必要退出beinan用戶,可以用su來切換到root下進行添加用戶的工作,等任務(wù)完成后再退出root。我們可以看到當然通過su 切換是一種比較好的辦法;
通過su可以在用戶之間切換,如果超級權(quán)限用戶root向普通或虛擬用戶切換不需要密碼,什么是權(quán)力?這就是!而普通用戶切換到其它任何用戶都需要密碼驗證;
2、su 的用法:
su [OPTION選項參數(shù)] [用戶]
-, -l, --login 登錄并改變到所切換的用戶環(huán)境;
-c, --commmand=COMMAND 執(zhí)行一個命令,然后退出所切換到的用戶環(huán)境;
至于更詳細的,請參看man su ;
3、su 的范例:
su 在不加任何參數(shù),默認為切換到root用戶,但沒有轉(zhuǎn)到root用戶家目錄下,也就是說這時雖然是切換為root用戶了,但并沒有改變root登錄環(huán)境;用戶默認的登錄環(huán)境,可以在/etc/passwd 中查得到,包括家目錄,SHELL定義等;
[beinan@localhost ~]?$ su Password: [root@localhost beinan]# pwd /home/beinan
su 加參數(shù) - ,表示默認切換到root用戶,并且改變到root用戶的環(huán)境;
[beinan@localhost ~]?$ pwd /home/beinan [beinan@localhost ~]?$ su - Password: [root@localhost ~]# pwd /root
su 參數(shù) - 用戶名
$ su - root 注:這個和su - 是一樣的功能;?[beinan@localhost ~]
Password:
[root@localhost ~]# pwd
/root
$ su - linuxsir 注:這是切換到?[beinan@localhost ~] linuxsir用戶
Password: 注:在這里輸入密碼;
$ pwd 注:查看用戶當前所處的位置;?[linuxsir@localhost ~]
/home/linuxsir
$ id?[linuxsir@localhost ~] 注:查看用戶的UID和GID信息,主要是看是否切換過來了;
uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
$?[linuxsir@localhost ~]
$ su - -c ls?[beinan@localhost ~] 注:這是su的參數(shù)組合,表示切換到root用戶,并且改變到root環(huán)境,然后列出root家目錄的文件,然后退出root用戶;
Password: 注:在這里輸入root的密碼;
anaconda-ks.cfg Desktop install.log install.log.syslog testgroup testgroupbeinan testgrouproot
$ pwd 注:查看當前用戶所處的位置;?[beinan@localhost ~]
/home/beinan
$ id 注:查看當前用戶信息;?[beinan@localhost ~]
uid=500(beinan) gid=500(beinan) groups=500(beinan)
4、su的優(yōu)缺點;
su 的確為管理帶來方便,通過切換到root下,能完成所有系統(tǒng)管理工具,只要把root的密碼交給任何一個普通用戶,他都能切換到root來完成所有的系統(tǒng)管理工作;但通過su切換到root后,也有不安全因素;比如系統(tǒng)有10個用戶,而且都參與管理。如果這10個用戶都涉及到超級權(quán)限的運用,做為管理員如果想讓其它用戶通過su來切換到超級權(quán)限的root,必須把root權(quán)限密碼都告訴這10個用戶;如果這10個用戶都有root權(quán)限,通過root權(quán)限可以做任何事,這在一定程度上就對系統(tǒng)的安全造成了威協(xié);想想Windows吧,簡直就是惡夢;"沒有不安全的系統(tǒng),只有不安全的人",我們絕對不能保證這 10個用戶都能按正常操作流程來管理系統(tǒng),其中任何一人對系統(tǒng)操作的重大失誤,都可能導致系統(tǒng)崩潰或數(shù)據(jù)損失;所以su 工具在多人參與的系統(tǒng)管理中,并不是最好的選擇,su只適用于一兩個人參與管理的系統(tǒng),畢竟su并不能讓普通用戶受限的使用;超級用戶root密碼應(yīng)該掌握在少數(shù)用戶手中,這絕對是真理!所以集權(quán)而治的存在還是有一定道理的;
二. sudo 授權(quán)許可使用的su,也是受限制的su
1. sudo 的適用條件
由于su 對切換到超級權(quán)限用戶root后,權(quán)限的無限制性,所以su并不能擔任多個管理員所管理的系統(tǒng)。如果用su 來切換到超級用戶來管理系統(tǒng),也不能明確哪些工作是由哪個管理員進行的操作。特別是對于服務(wù)器的管理有多人參與管理時,最好是針對每個管理員的技術(shù)特長和管理范圍,并且有針對性的下放給權(quán)限,并且約定其使用哪些工具來完成與其相關(guān)的工作,這時我們就有必要用到 sudo。
通過sudo,我們能把某些超級權(quán)限有針對性的下放,并且不需要普通用戶知道 root密碼,所以sudo 相對于權(quán)限無限制性的su來說,還是比較安全的,所以sudo 也能被稱為受限制的su ;另外sudo 是需要授權(quán)許可的,所以也被稱為授權(quán)許可的su;
sudo 執(zhí)行命令的流程是當前用戶切換到root(或其它指定切換到的用戶),然后以root(或其它指定的切換到的用戶)身份執(zhí)行命令,執(zhí)行完成后,直接退回到當前用戶;而這些的前提是要通過sudo的配置文件/etc/sudoers來進行授權(quán);
2、從編寫 sudo 配置文件/etc/sudoers開始
sudo的配置文件是/etc/sudoers ,我們可以用他的專用編輯工具visodu ,此工具的好處是在添加規(guī)則不太準確時,保存退出時會提示給我們錯誤信息;配置好后,可以用切換到您授權(quán)的用戶下,通過sudo -l 來查看哪些命令是可以執(zhí)行或禁止的;
/etc/sudoers 文件中每行算一個規(guī)則,前面帶有#號可以當作是說明的內(nèi)容,并不執(zhí)行;如果規(guī)則很長,一行列不下時,可以用\號來續(xù)行,這樣看來一個規(guī)則也可以擁有多個行;
/etc/sudoers 的規(guī)則可分為兩類;一類是別名定義,另一類是授權(quán)規(guī)則;別名定義并不是必須的,但授權(quán)規(guī)則是必須的;
3、/etc/sudoers 配置文件中別名規(guī)則
別名規(guī)則定義格式如下:
Alias_Type NAME = item1, item2, ...
或
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
別名類型(Alias_Type):別名類型包括如下四種
Host_Alias 定義主機別名;
User_Alias 用戶別名,別名成員可以是用戶,用戶組(前面要加%號)
Runas_Alias 用來定義runas別名,這個別名指定的是"目的用戶",即sudo 允許切換至的用戶;
Cmnd_Alias 定義命令別名;
NAME 就是別名了,NMAE的命名是包含大寫字母、下劃線以及數(shù)字,但必須以一個大寫字母開頭,比如SYNADM、SYN_ADM或SYNAD0是合法的,sYNAMDA或1SYNAD是不合法的;
item 按中文翻譯是項目,在這里我們可以譯成成員,如果一個別名下有多個成員,成員與成員之間,通過半角,號分隔;成員在必須是有效并事實存在的。什么是有效的呢?比如主機名,可以通過w查看用戶的主機名(或ip地址),如果您只是本地機操作,只通過hostname 命令就能查看;用戶名當然是在系統(tǒng)中存在的,在/etc/paswd中必須存在;對于定義命令別名,成員也必須在系統(tǒng)中事實存在的文件名(需要絕對路徑);
item成員受別名類型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias 制約,定義什么類型的別名,就要有什么類型的成員相配。我們用Host_Alias定義主機別名時,成員必須是與主機相關(guān)相關(guān)聯(lián),比如是主機名(包括遠程登錄的主機名)、ip地址(單個或整段)、掩碼等;當用戶登錄時,可以通過w命令來查看登錄用戶主機信息;用User_Alias和 Runas_Alias定義時,必須要用系統(tǒng)用戶做為成員;用Cmnd_Alias 定義執(zhí)行命令的別名時,必須是系統(tǒng)存在的文件,文件名可以用通配符表示,配置Cmnd_Alias時命令需要絕對路徑;其中 Runas_Alias 和User_Alias 有點相似,但與User_Alias 絕對不是同一個概念,Runas_Alias 定義的是某個系統(tǒng)用戶可以sudo 切換身份到Runas_Alias 下的成員;我們在授權(quán)規(guī)則中以實例進行解說;別名規(guī)則是每行算一個規(guī)則,如果一個別名規(guī)則一行容不下時,可以通過\來續(xù)行;同一類型別名的定義,一次也可以定義幾個別名,他們中間用:號分隔,
#p#副標題#e#
Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24 注:定義主機別名HT01,通過=號列出成員
Host_Alias HT02=st09,st10 注:主機別名HT02,有兩個成員;
Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,st10 注:上面的兩條對主機的定義,可以通過一條來實現(xiàn),別名之間用:號分割;
注:我們通過Host_Alias 定義主機別名時,項目可以是主機名、可以是單個ip(整段ip地址也可以),也可以是網(wǎng)絡(luò)掩碼;如果是主機名,必須是多臺機器的網(wǎng)絡(luò)中,而且這些機器得能通過主機名相互通信訪問才有效。那什么才算是通過主機名相互通信或訪問呢?比如 ping 主機名,或通過遠程訪問主機名來訪問。在我們局域網(wǎng)中,如果讓計算機通過主機名訪問通信,必須設(shè)置/etc/hosts, /etc/resolv.conf ,還要有DNS做解析,否則相互之間無法通過主機名訪問;在設(shè)置主機別名時,如果項目是中某個項目是主機名的話,可以通過hostname 命令來查看本地主機的主機名,通過w命令查來看登錄主機是來源,通過來源來確認其它客戶機的主機名或ip地址;對于主機別名的定義,看上去有點復雜,其實是很簡單。
關(guān)鍵詞標簽:su,sudo
相關(guān)閱讀
熱門文章 安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程 Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法 多種操作系統(tǒng)NTP客戶端配置 Linux操作系統(tǒng)修改IP
人氣排行 Linux下獲取CPUID、硬盤序列號與MAC地址 dmidecode命令查看內(nèi)存型號 linux tc實現(xiàn)ip流量限制 安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程 linux下解壓rar文件 lcx.exe、nc.exe、sc.exe入侵中的使用方法 Ubuntu linux 關(guān)機、重啟、注銷 命令 查看linux服務(wù)器硬盤IO讀寫負載