Linux用户身份切换

为什么需要切换用户身份?

在日常工作中,尽量使用普通用户账号操作,当需要root权限的时候再通过身份切换的方式切换至root管理员,这样能保证系统的安全性。使用普通账号的安全性主要体现在两个方面:

  • 防止因误操作而删除了系统重要文件;
  • 创建一些系统账户专门用来启动某些服务,这样即使该服务被攻陷,系统仍然是安全的。

下面介绍两种Linux中切换用户身份的方式。

身份切换方式一:su

该命令可以将身份切换至指定账户,但需要输入该账户的密码。

su [-lm] [-c 命令] username
  • 若不加username则表示切换至root
  • 使用su和su -均能切换至root账户,但不加-会使很多变量仍然保持切换前用户的变量,而加了-之后则参数将会完全变成root的参数,尤其是环境变量PATH,从而能够直接使用某些命令,而无需指定绝对路径。
  • 若只想执行一个root权限才能执行的命令的时候,可以将命令直接写在-c的后面,这样无需切换身份,如:
su -c vim /etc/shadow

身份切换方式二:sudo

使用su切换身份需要直到root账号的密码,这样并不安全。为了提高安全性,我们可以使用sudo来执行需要root权限的功能。 sudo由root指定,指定后用户只需输入自己账号的密码就能申请到root权限,而无需告诉任何人root密码,因此安全了不少。

sudo [-b] [-u username] 需要执行的命令

-b:使后续的命令自行执行,而不与目前的shell产生影响。

使用visudo指定拥有sudo权限的账户

拥有sudo权限的账户由/etc/sudoers文件维护,我们只需修改该文件的内容即可指定用户拥有sudo权限。但sudoers文件具有一定的语法规则,因此不建议使用vim直接修改,而是使用visudo命令进行操作,因为visudo命令能进行语法检查,当我们出现语法错误时能够及时纠正。 下面我们就来看看sudoers文件的内容:

root    ALL=(ALL)       ALL
  1. 第一个参数表示允许进行sudo操作的用户名
  2. 第二个参数表示允许的源主机IP
  3. 第三个参数表示可以切换的用户名
  4. 第四个参数表示允许执行的命令

使用visudo指定拥有sudo权限的用户组

$users    ALL=(ALL)       ALL

$表示该用户为一个用户组。在visudo中设置了用户组后,只要是该用户组的用户均有sudo权限。如果想让一个用户获得sudo权限,只需加入该用户组即可,无需再修改sudoers文件。

开启sudo免密功能

先前的用户在执行sudo命令后都需要输入自己的密码,然而对于一些十分信任的用户可以免去他们在sudo时输入密码:

$users    ALL=(ALL)       NOPASSWD:ALL

只需在最后一个参数前加上NOPASSWD即可!

限制sudo操作

1.限制可切换的用户范围,如:只允许chai能sudo至root

chai    ALL=(root)       ALL

2.限制用户能执行的操作,如只允许用户执行命令/usr/bin/passwd

chai    ALL=(root)       /usr/bin/passwd

通过别名设置visudo

  • 通过User_Alias为用户们起一个别名
  • 通过Cmnd_Alias为可执行的操作起一个别名 如,允许jsmith, mikem这两个用户将身份切换至root,并可以执行/sbin/route和 /sbin/ifconfig这两个命令。
User_Alias ADMINS = jsmith, mikem
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig
ADMINS ALL=(root) NETWORKING

sudo与su的搭配使用

su和sudo各有千秋,su能切换用户身份,但需要知道对方的密码,这并不安全;而sudo无需知道对方的密码,但每次执行root命令都需要加上sudo,这很不方面,下面的配置能够让这两种方式的优点结合起来:

User_Alias ADMINS = chai1,chai2,chai3
ADMINS ALL=(root) /bin/su -

此时只要输入sudo su -并输入自己的密码后即可变成root账户。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏搜云库

CentOs7.3 安装 MySQL 5.7.19 二进制版本

CentOs7.3 安装 MySQL 5.7.19 二进制版本 参考官网 - 使用通用二进制文件在Unix / Linux上安装MySQL MySQL社区版 下...

2228
来自专栏桥路_大数据

多云服务器kafka环境搭建并接收flume日志数据

3449
来自专栏Core Net

ASP.NET Core 2.0 : 九.从Windows发布到CentOS的跨平台部署

1373
来自专栏技术之路

sql 2000 无法连接远程数据库 sqlserver不存在或访问被拒绝 解决方案

一 看ping 服务器IP能否ping通。    这个实际上是看和远程sql server 2000服务器的物理连接是否存在。如果不行,请检查网络,查看配置,当...

2029
来自专栏州的先生

在Python爬虫中将PhantomJS伪装成Chrome浏览器

1244
来自专栏北京马哥教育

LAMP平台基于NFS实现web服务器负载均衡

前言 随着访问量的逐渐增大,一台web服务器可能已经无法满足需求,这就需要增加web服务器的数量了,于是问题就来了:如何保证两台服务器数据同步呢?本文将讲解...

2675
来自专栏散尽浮华

libc.so.6: version 'GLIBC_2.14' not found报错提示的解决方案

线上一台服务器在执行leveldb程序的时候,报错:"libc.so.6: version `GLIBC_2.14' not found"。 排查原因及解决方法...

4054
来自专栏JMCui

Git + Maven + Jenkins 实现自动化部署

一、安装 和 准备工作     我们选择了用 Tomcat 服务器下 war 包的安装方式。Jenkins 的下载地址:http://mirrors.jenki...

4386
来自专栏Pythonista

Golang之go 命令用法

(注:实际上,package名在Go语言规范中指代码中“package”后使用的名称,此名称可以与文件夹名不同。默认生成的可执行文件名是文件夹名。)

642
来自专栏维C果糖

详述 IntelliJ IDEA 插件的安装及使用方法

温馨提示:IntelliJ IDEA 支持非常多的插件,熟练的使用插件,能够有效提高我们的开发效率以及用户体验。 正文 首先,进入插件安装界面: Mac:I...

3188

扫描关注云+社区