【原创】Linux中sudo和su的区别

lsekfe

相信很多测试员在刚开始接触Linux系统时，会对sudo（SubstituteUser DO）命令和su（Switch User）命令产生疑惑，明明都是可以用来切换用户的命令，却有两个呢，它们到底有什么区别呢？本文将带大家全面认识两者的作用及区别。

'su' 与 'sudo'

“su”是switchuser的意思，那么它提供的功能就显而易见了，就是切换用户，想要使用su是必须知道root的密码，显然这样既死板又存在安全风险。

“sudo”全称是super user do，即以超级用户的方式执行命令，这里的超级用户指的就是root用户，“sudo”可以在没有root密码的情况下执行系统命令，“sudo”可以使用自己的账户密码来执行系统命令，这样就更加灵活。

显然，sudo因为更灵活而被广泛使用，那么接下来重点介绍一下sudo：

谁可以执行“sudo”？

我们可以运行 '/usr/sbin/visudo'来添加/删除可以执行 'sudo' 的用户列表

“/usr/sbin/visudo”文件的屏幕截图如下所示：

默认情况下，sudo 列表类似于以下字符串：

注意：你必须是root用户才能编辑 /usr/sbin/visudo文件。

授予 sudo 访问权限

在许多情况下，系统管理员（尤其是该领域的新手）会用命令“root ALL=（ALL） ALL”作为模板授予其他人无限制访问权限，这就可能带来安全隐患。

将“/usr/sbin/visudo”文件编辑为类似于以下模式的内容可能非常危险，除非你完全相信所有列出的用户。

sudo 的参数

“sudo”配置起来非常灵活，可以精确配置需要运行的命令数量。

配置“sudo”的语法为：

以上语法可分为几个部分：

1.  User_name：这是“sudo”用户的名称。

2.  Machine_name：这是主机名，其中“sudo”命令有效。当您有很多主机时很有用。

3.  （Effective_user）：允许执行命令的“有效用户”。

为了更方便大家明白sudo的用法，下面根据实际情况举例：

问题1.有一个用户，该用户是数据库管理员。应该只向他提供数据库服务器（beta.database_server.com）上的所有访问权限，而不是任何主机上的访问权限。

对于上述情况，“sudo”行可以写成：

问题2. 有一个用户“tom”，他应该在同一数据库服务器上以 root 以外的用户身份执行系统命令。

对于上述情况，“sudo”行可以写成：

问题3.有一个用户 'cat'，它应该只运行命令 'dog'。

为了实现上述情况，我们可以将“sudo”写成：

问题4.如果需要向用户授予多个命令，该怎么办？

如果用户应该运行的命令数量少于10个，我们可以将所有命令放在一起，它们之间有空格：

一些alias示例，可用于代替'sudo' 配置文件中的条目。

可以指定一个系统组来代替属于该组的用户，只需后缀“%”，如下：

问题5.在不输入密码的情况下执行“sudo”命令怎么样？

我们可以在不输入密码的情况下使用“NOPASSWD”标志执行“sudo”命令。

在这里，用户“adam”可以执行“PROCS”下所有命令，而无需输入密码。

与“su”相比，“sudo”提供了一个强大而安全的环境，具有较高的灵活性。此外，“sudo”配置很容易。一些 Linux 发行版默认启用了“sudo”，而当今的大多数发行版都需要启用它作为安全措施。

要将用户 （bob） 添加到 sudo，只需以 root 身份运行以下命令即可。

前面讲了关于sudo，接下来也捎带说下su：

1. 权限提升方式：

  su用于切换用户，如果没有指定用户，默认切换到超级用户（root）。用户需要知道目标用户的密码。

2. 权限控制：

  su的权限控制较为简单，只能切换到目标用户的权限。

3. 安全性：

   因为需要知道目标用户的密码，su的安全性较低。

4. 使用场景：

   通常在需要切换到超级用户执行一系列命令时使用，但不推荐直接使用 su切换到 root 用户，而是使用sudo提升权限。

5. 使用示例：

5.1）切换到超级用户

su或者su -

5.2）切换到其他用户

suusername

5.3）以其他用户身份执行命令

su -c “command”

如果看完还是一脸懵，那么就让它两来个横向对比吧：

	sudo	su
认证方式	需要输入执行命令的用户的密码	需要输入目标用户的秘密
用户切换	以目标用户（通常为root）的权限执行命令，但不切换用户	完全切换到目标用户，开启新的用户session
安全性	sudo可以提供更好的安全性，因为用户需要输入自己的密码，而不是目标用户的密码。此外，sudo 可以记录用户执行的每个命令，提供了更好的审计和安全性	安全性较低，因为用户需要知道目标用户的密码，如果密码泄露，安全性就会受到威胁，从安全层面而言su要慎用
权限控制	sudo的权限控制更为灵活，可以通过配置文件 /etc/sudoers来定义哪些用户可以以何种方式执行哪些命令。这提供了细粒度的权限控制	su 的权限控制较为简单，只能切换到目标用户的权限。用户必须知道目标用户的密码，且 su 命令通常只允许在系统上拥有 root 密码的用户使用
执行环境	通常保留原始用户的环境变量，但可以通过参数修改（比如sudo -i）	可以通过su -加载目标用户的环境变量和配置

日志记录	记录所有通过sudo执行的命令，便于审计	通常不会记录执行的命令详情
使用习惯	推荐在需要执行具体命令时提升权限，以提高安全性。适用于精确控制哪些用户可以以超级用户的身份执行哪些命令	适用于需要切换到超级用户执行一系列命令的场景
配置复杂度	通过/etc/sudoers进行配置，设置较为复杂但功能强大	没有配置文件，使用较为简单
荐使用场景	在需要执行特权操作时使用，特别是在多用户环境中，由于其提供了更好的安全性和可追溯性	在需要长时间以另一个用户身份工作时使用，或者在没有sudo配置的系统中使用

有了这清晰的横向对比，相信你对两者的区别有了更深的认识了吧。

总结

总之，sudo提供了更灵活、安全的权限管理，是推荐使用的方式，使用sudo时，你仍然是原来的用户，但是可以执行特权命令，并且需要你自己的密码。在需要一次性执行多个命令的场景下，可以考虑使用su，使用su时，你变成了另一个用户，并且需要该用户的密码。但还是那句话，推荐优先考虑使用sudo，这是出于安全性角度考虑！

applepen

mark 最近也在看linux命令