Linux用户身份切换

为什么需要切换用户身份?

在日常工作中,尽量使用普通用户账号操作,当需要root权限的时候再通过身份切换的方式切换至root管理员,这样能保证系统的安全性。使用普通账号的安全性主要体现在两个方面:

  • 防止因误操作而删除了系统重要文件;
  • 创建一些系统账户专门用来启动某些服务,这样即使该服务被攻陷,系统仍然是安全的。

下面介绍两种Linux中切换用户身份的方式。

身份切换方式一:su

该命令可以将身份切换至指定账户,但需要输入该账户的密码。

su [-lm] [-c 命令] username
  • 若不加username则表示切换至root
  • 使用su和su -均能切换至root账户,但不加-会使很多变量仍然保持切换前用户的变量,而加了-之后则参数将会完全变成root的参数,尤其是环境变量PATH,从而能够直接使用某些命令,而无需指定绝对路径。
  • 若只想执行一个root权限才能执行的命令的时候,可以将命令直接写在-c的后面,这样无需切换身份,如:
su -c vim /etc/shadow

身份切换方式二:sudo

使用su切换身份需要直到root账号的密码,这样并不安全。为了提高安全性,我们可以使用sudo来执行需要root权限的功能。 sudo由root指定,指定后用户只需输入自己账号的密码就能申请到root权限,而无需告诉任何人root密码,因此安全了不少。

sudo [-b] [-u username] 需要执行的命令

-b:使后续的命令自行执行,而不与目前的shell产生影响。

使用visudo指定拥有sudo权限的账户

拥有sudo权限的账户由/etc/sudoers文件维护,我们只需修改该文件的内容即可指定用户拥有sudo权限。但sudoers文件具有一定的语法规则,因此不建议使用vim直接修改,而是使用visudo命令进行操作,因为visudo命令能进行语法检查,当我们出现语法错误时能够及时纠正。 下面我们就来看看sudoers文件的内容:

root    ALL=(ALL)       ALL
  1. 第一个参数表示允许进行sudo操作的用户名
  2. 第二个参数表示允许的源主机IP
  3. 第三个参数表示可以切换的用户名
  4. 第四个参数表示允许执行的命令

使用visudo指定拥有sudo权限的用户组

$users    ALL=(ALL)       ALL

$表示该用户为一个用户组。在visudo中设置了用户组后,只要是该用户组的用户均有sudo权限。如果想让一个用户获得sudo权限,只需加入该用户组即可,无需再修改sudoers文件。

开启sudo免密功能

先前的用户在执行sudo命令后都需要输入自己的密码,然而对于一些十分信任的用户可以免去他们在sudo时输入密码:

$users    ALL=(ALL)       NOPASSWD:ALL

只需在最后一个参数前加上NOPASSWD即可!

限制sudo操作

1.限制可切换的用户范围,如:只允许chai能sudo至root

chai    ALL=(root)       ALL

2.限制用户能执行的操作,如只允许用户执行命令/usr/bin/passwd

chai    ALL=(root)       /usr/bin/passwd

通过别名设置visudo

  • 通过User_Alias为用户们起一个别名
  • 通过Cmnd_Alias为可执行的操作起一个别名 如,允许jsmith, mikem这两个用户将身份切换至root,并可以执行/sbin/route和 /sbin/ifconfig这两个命令。
User_Alias ADMINS = jsmith, mikem
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig
ADMINS ALL=(root) NETWORKING

sudo与su的搭配使用

su和sudo各有千秋,su能切换用户身份,但需要知道对方的密码,这并不安全;而sudo无需知道对方的密码,但每次执行root命令都需要加上sudo,这很不方面,下面的配置能够让这两种方式的优点结合起来:

User_Alias ADMINS = chai1,chai2,chai3
ADMINS ALL=(root) /bin/su -

此时只要输入sudo su -并输入自己的密码后即可变成root账户。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏决胜机器学习

《Redis设计与实现》读书笔记(二十五) ——Redis主从复制具体过程

《Redis设计与实现》读书笔记(二十五) ——Redis主从复制具体过程 (原创内容,转载请注明来源,谢谢) 一、PSYNC命令执行过程 ...

3705
来自专栏陈树义

Java并发编程:线程的基本状态

一、线程的基本状态 线程基本上有5种状态,分别是:NEW、Runnable、Running、Blocked、Dead。 1)新建状态(New) 当线程对象对创建...

3517
来自专栏python读书笔记

python 数据分析基础 day7-xlrd,xlwt读写多个excel通过xlrd和xlwt读多个excel文件并写入一个新excel文件

今天总结的内容为通过xlrd和xlwt模块将读取的多个excel文件中多个工作表输出至多个excel文件中。 通过xlrd和xlwt读多个excel文件并写入一...

3708
来自专栏抠抠空间

django自带权限机制

权限机制能够约束用户行为,控制页面的显示内容,也能使API更加安全和灵活;用好权限机制,能让系统更加强大和健壮。因此,基于Django的开发,理清Django权...

2033
来自专栏LanceToBigData

开发问题(一)在windows和linux端口占用问题

前言   今天在MyEclipse中使用tomcat发现tomcat端口8080竟然被占用了,所以就找了一下解决办法共参考!   在网络程序的调试过程中,经常发...

21710
来自专栏云计算教程系列

如何在Ubuntu 18.04上安装和配置Postfix

Postfix是一种流行的开源邮件传输代理(MTA),可用于在Linux系统上路由和传递电子邮件。据估计,互联网上约有25%的公共邮件服务器运行Postfix。

3101
来自专栏fixzd

redis系列:主从复制

这篇文章主要讲述Redis的主从复制功能。会依次从环境搭建、功能测试和原理分析几个方面进行介绍。

1454
来自专栏电脑高手

如何通过路由器来控制上网

这种共享上网的方法一般如下:(光纤)电话线--语音分离器--(光纤猫)ADSL猫--宽带路由器-交换机-集线器-电脑

45513
来自专栏LIN_ZONE

进程间通信的几种方式

注:本文参考操作系统课本,只是一些概念性的知识。 如需转载请注明出处:https://www.cnblogs.com/zhuchenglin/p/952219...

7141
来自专栏从零开始学 Web 前端

从零开始学 Web 之 Ajax(一)服务器相关概念

服务器和客户端都是电脑,在硬件层面上没有明显的划分,配置很差的个人电脑任然可以作为服务器。

1392

扫码关注云+社区

领取腾讯云代金券