Linux用户身份切换

为什么需要切换用户身份?

在日常工作中,尽量使用普通用户账号操作,当需要root权限的时候再通过身份切换的方式切换至root管理员,这样能保证系统的安全性。使用普通账号的安全性主要体现在两个方面:

  • 防止因误操作而删除了系统重要文件;
  • 创建一些系统账户专门用来启动某些服务,这样即使该服务被攻陷,系统仍然是安全的。

下面介绍两种Linux中切换用户身份的方式。

身份切换方式一:su

该命令可以将身份切换至指定账户,但需要输入该账户的密码。

su [-lm] [-c 命令] username
  • 若不加username则表示切换至root
  • 使用su和su -均能切换至root账户,但不加-会使很多变量仍然保持切换前用户的变量,而加了-之后则参数将会完全变成root的参数,尤其是环境变量PATH,从而能够直接使用某些命令,而无需指定绝对路径。
  • 若只想执行一个root权限才能执行的命令的时候,可以将命令直接写在-c的后面,这样无需切换身份,如:
su -c vim /etc/shadow

身份切换方式二:sudo

使用su切换身份需要直到root账号的密码,这样并不安全。为了提高安全性,我们可以使用sudo来执行需要root权限的功能。 sudo由root指定,指定后用户只需输入自己账号的密码就能申请到root权限,而无需告诉任何人root密码,因此安全了不少。

sudo [-b] [-u username] 需要执行的命令

-b:使后续的命令自行执行,而不与目前的shell产生影响。

使用visudo指定拥有sudo权限的账户

拥有sudo权限的账户由/etc/sudoers文件维护,我们只需修改该文件的内容即可指定用户拥有sudo权限。但sudoers文件具有一定的语法规则,因此不建议使用vim直接修改,而是使用visudo命令进行操作,因为visudo命令能进行语法检查,当我们出现语法错误时能够及时纠正。 下面我们就来看看sudoers文件的内容:

root    ALL=(ALL)       ALL
  1. 第一个参数表示允许进行sudo操作的用户名
  2. 第二个参数表示允许的源主机IP
  3. 第三个参数表示可以切换的用户名
  4. 第四个参数表示允许执行的命令

使用visudo指定拥有sudo权限的用户组

$users    ALL=(ALL)       ALL

$表示该用户为一个用户组。在visudo中设置了用户组后,只要是该用户组的用户均有sudo权限。如果想让一个用户获得sudo权限,只需加入该用户组即可,无需再修改sudoers文件。

开启sudo免密功能

先前的用户在执行sudo命令后都需要输入自己的密码,然而对于一些十分信任的用户可以免去他们在sudo时输入密码:

$users    ALL=(ALL)       NOPASSWD:ALL

只需在最后一个参数前加上NOPASSWD即可!

限制sudo操作

1.限制可切换的用户范围,如:只允许chai能sudo至root

chai    ALL=(root)       ALL

2.限制用户能执行的操作,如只允许用户执行命令/usr/bin/passwd

chai    ALL=(root)       /usr/bin/passwd

通过别名设置visudo

  • 通过User_Alias为用户们起一个别名
  • 通过Cmnd_Alias为可执行的操作起一个别名 如,允许jsmith, mikem这两个用户将身份切换至root,并可以执行/sbin/route和 /sbin/ifconfig这两个命令。
User_Alias ADMINS = jsmith, mikem
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig
ADMINS ALL=(root) NETWORKING

sudo与su的搭配使用

su和sudo各有千秋,su能切换用户身份,但需要知道对方的密码,这并不安全;而sudo无需知道对方的密码,但每次执行root命令都需要加上sudo,这很不方面,下面的配置能够让这两种方式的优点结合起来:

User_Alias ADMINS = chai1,chai2,chai3
ADMINS ALL=(root) /bin/su -

此时只要输入sudo su -并输入自己的密码后即可变成root账户。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏主机笔记

solusvm加载镜像安装英文版windows系统

国外一些使用solusvm的商家,虽然网站本身没有提供安装windows系统,但是后台solusvm的镜像提供了windows镜像,这样我们就可以挂载镜像来安装...

27710
来自专栏各种机器学习基础算法

ubuntu上安装php7.0+nginx+mysql

安装Nginx sudo apt install nginx sudo service nginx start 然后在其他电脑浏览器中输入该主机的ip地址进行访...

3548
来自专栏编程语言

MySQL 安装和配置

1.下载MySQL https://dev.mysql.com/downloads/mysql/;

551
来自专栏古时的风筝

django开发个人简易Blog—nginx+uwsgin+django1.6+mysql 部署到CentOS6.5

前面说完了此项目的创建及数据模型设计的过程。如果未看过,可以到这里查看,并且项目源码已经放大到github上,可以去这里下载。 代码也已经部署到sina sea...

2449
来自专栏世界第一语言是java

docker部署redis,清空redis缓存

1411
来自专栏源码之家

成功导入大数据库的亲身经历

1244
来自专栏C/C++基础

Linux命令(17)——su与sudo命令

su用于临时切换身份到另一个指定的用户,未指定用户名默认为root。使用su切换用户身份后,默认情况下不改变当前工作目录,但会改变“HOME”、“SHELL”、...

693
来自专栏Laoqi's Linux运维专列

MariaDB 安装+编译配置

MariaDB安装 : 下载安装 cd /usr/local/src wget https://downloads.mariadb.com/MariaDB/m...

3577
来自专栏linux运维学习

Linux学习第三十四篇:rsync通过服务同步,Linux系统日志,screen工具

rsync通过服务同步 rsync 通过服务的方式同步(在主机上配置好rsync的各种应用) 要编辑配置文件 /etc/rsyncd.conf rsy...

1819
来自专栏青玉伏案

macOS Sierra安装Apache2.4+PHP7.0+MySQL5.7.16

Mac系统上虽然自带PHP和Apache,但是有时不是我们想要的版本呢。今天我们就在macOS Sierra(10.12.1)上安装比较新的版本的PHP版本,也...

1957

扫码关注云+社区