「Linux用户账号管理」su和sudo命令.docxVIP

PAGE232

Linux系统管理

Linux系统管理

PAGE232

知识点详细解析

su命令

核心功能：临时切换用户身份（需目标用户密码），适用于权限提升、环境测试等场景。

语法

su[选项][目标用户名]

#无用户名：默认切换到`root`，需输入`root`密码。

#指定用户名：切换到指定用户，需输入目标用户密码。

常用选项：

选项

作用

-或-l或--login

完全切换用户环境（加载目标用户的profile配置）

-c命令

以目标用户身份执行单条命令后退出（不进入交互式Shell）

-s或--shell

指定Shell类型（如su-s/bin/bashalice）

-m或-p

保留当前环境变量（不加载目标用户配置）

工作流程与权限规则

关键机制：

切换需要目标用户的密码（root切换其他用户除外）

默认仅切换用户身份，不重置环境变量（需-选项完全切换）

切换后进程属主变更为目标用户

操作示例

示例：完全切换为root（推荐方式）

$su-#或su-root

Password:********#输入root密码

whoami#root

exit#返回原用户

示例：切换到普通用户

$su-alice#完全切换至alice

Password:********#输入alice的密码

$env|grepHOME#显示/home/alice（环境已重置）

#HOME=/home/alice

密码暴露风险

#禁止在命令行直接暴露密码！

$su-c命令password?

环境残留污染：用su（不带-）切换时，原用户的PATH等变量可能导致命令执行异常

root切换限制

#默认禁止root通过SSH直接登录

#修改/etc/ssh/sshd_config：

PermitRootLoginno

常见错误处理

错误

原因

解决方案

su:Authenticationfailure

密码错误

①确认目标用户密码

②检查密码键盘布局

su:useralicedoesnotexist

用户不存在

用getentpasswdalice验证用户

su:failedtoexecute/bin/zsh

Shell路径错误

检查目标用户的合法Shell（/etc/shells）

sudo命令

以其他用户身份（默认为root）安全执行特权命令，需通过/etc/sudoers配置文件授权。

基本语法

sudo[选项]命令[参数]

常用选项详解

选项

说明

示例

-u用户

以指定用户身份执行

sudo-ualicewhoami

-g组

以指定组的权限执行

sudo-gadmincat/etc/shadow

-i

模拟登录环境（加载目标用户的配置文件）

sudo-i

-s

启动目标用户的Shell

sudo-s

-v

刷新sudo凭证有效期（默认为5分钟）

sudo-v

-k

强制清除sudo缓存（需重新输入密码）

sudo-k

-l

查看当前用户的sudo权限

sudo-l

-H

设置$HOME为目标用户的家目录

sudo-Hpipinstallpackage

配置文件(/etc/sudoers)通过visudo命令安全编辑配置文件：

sudovisudo

典型配置示例

#允许alice执行所有root命令（需密码）

aliceALL=(ALL:ALL)ALL

#允许dev组无需密码执行/usr/bin/apt

%devALL=(ALL)NOPASSWD:/usr/bin/apt

#允许用户以alice身份执行特定命令

bobALL=(alice)/usr/bin/whoami,/usr/bin/ls

重要安全实践

最小权限原则

避免使用ALL=(ALL)ALL，按需精确授权命令路径

#反例（过度授权）

user1ALL=(ALL)NOPASSWD:ALL

#正例（精确授权）

user1ALL=(root)NOPASSWD:/usr/bin/systemctlrestartnginx

日志审计

所有sudo操作记录在：

/var/log/auth.log#Debian/Ubuntu

/var/log/secure#RHEL/CentOS

防止误操作

危险命令前添加echo