文章目录

命令介绍原理相关文件通配符和命令 su 的比较常用选项几个重要选项的解读-k 选项-s 选项-i 选项su、sudo su、sudo -i 的区别查看日志文件参考示例以用户 mysql 的身份执行命令 pwd以用户 root 的身份执行命令 pwd以 root 的权限执行上一条命令以 root 的权限编辑指定的文件普通用户切换成 root 身份使用 root 的身份执行最近一条指令使用 sudo 切换 Shell 类型切换成指定的用户显示当前用户可以用 sudo 执行哪些命令通过加入群组的方式给普通用户授权

命令介绍

substitute user identity to do，替换身份去执行，缩写为sudo。

sudo命令用来以其他身份来执行命令，预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，之后有 5 分钟的有效期限，超过期限则必须重新输入密码。

简单的说，sudo是一种权限管理机制，管理员可以授权一些普通用户去执行一些root执行的操作，而不需要知道root的密码。普通用户必须在文件/etc/sudoers中进行有关授权，才能使用命令sudo。

更加正确地说法是，sudo允许一个已授权用户以超级用户或者其它用户的角色运行一个命令。当然，能做什么不能做什么都是通过安全策略来指定的。sudo支持插件架构的安全策略，并能把输入输出写入日志。第三方可以开发并发布自己的安全策略和输入输出日志插件，并让它们无缝的和sudo一起工作。默认的安全策略记录在/etc/sudoers文件中。而安全策略可能需要用户通过密码来验证他们自己。也就是在用户执行sudo命令时要求用户输入自己账号的密码。如果验证失败，sudo命令将会退出。

原理

sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，登记在特殊的文件中（通常是 /etc/sudoers），即完成对该用户的授权（此时该用户称为“sudoer”）；在一般用户需要取得特殊权限时，其可在命令前加上sudo，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内（默认为5分钟，可在 /etc/sudoers 自定义），使用sudo不需要再次输入密码。

sudo命令的运行，需经历如下几步：

当用户运行 sudo 命令时，系统会先通过 /etc/sudoers 文件，验证该用户是否有运行 sudo 的权限；

确定用户具有使用 sudo 命令的权限后，还要让用户输入自己的密码进行确认。出于对系统安全性的考虑，如果用户在默认时间内（默认是 5 分钟）不使用 sudo 命令，此后使用时需要再次输入密码；

密码输入成功后，才会执行 sudo 命令后接的命令。

显然，能否使用 sudo 命令，取决于对 /etc/sudoers 文件的配置（默认情况下，此文件中只配置有 root 用户）。默认情况下 sudo 命令只有 root 身份可以使用。

相关文件

配置文件：

/etc/sudoers

/etc/sudoers.d/

时间戳文件：

/var/db/sudo

日志文件：

/var/log/secure

通配符

?:匹配任意一个字符*:匹配任意数量的任意字符[wxc]:匹配其中一个字符[!wxc]:除了这三个字符的其它字符\x:转义[[alpha]]:表示匹配任意一个英文字母。示例：/bin/ls [[alpha]]*

和命令 su 的比较

相对于使用 su 命令还需要新切换用户的密码，sudo 命令的运行只需要知道自己的密码即可，甚至于，我们可以通过手动修改 sudo 的配置文件，使其无需任何密码即可运行。

常用选项

几个重要选项的解读

-k 选项

考虑下这种情况：

输入密码后你刚刚运行了几个 sudo 驱动的命令，而 sudo 会话默认保持 5 分钟。假设在这会话期间，你需要让某些人访问你的终端，但你不想让他们可以使用 sudo，你将会怎么做？没错，-k选项允许用户提前结束 sudo 会话的有效期。

以下是 sudo 帮助页面的解释：

-k, --reset-timestamp

不带任何命令使用时，撤销用户缓存的凭据。换句话讲，下一次使用sudo将会要求输入密码。使用这个参数不需要密码，也可以放到一个

./logout文件中来撤销 sudo 权限。

当与一个命令，或者一个可能需要密码的操作一起用时，这个参数将会导致sudo忽略用户缓存的凭据。结果是sudo要求输入密码（如果这是被安全策略所要求的），而且不会更新用户缓存的凭据。

-s 选项

有时你的工作要求你运行一堆需要 root 权限的命令，你不想每次都输入密码。你也不想通过改变/etc/sudoers文件调整sudo会话的过期时限。

这种情况下，你可以用 sudo 的 -s 选项。以下是 sudo 帮助页面的解释：

-s,–shell

如果设置了 SHELL 环境变量或者调用用户的密码数据库指定了 shell，就运行该 shell 。如果指定了命令，命令将会通过 shell

的 -c参数将命令传递给该 shell 执行。如果没有指定命令，会执行一个交互式 shell。

所以，基本上这命令参数做的是：

1.启动一个新的 shell，至于是哪一个 shell，参照 SHELL 环境变量赋值。如果$SHELL是空的，将会用/etc/passwd中定义的 shell。

2.如果你用-s参数传递了一个命令名（例如，sudo -s whoami），实际执行的是sudo /bin/bash -c whoami。

3.如果你没有尝试执行其他命令（也就是说，你只是运行sudo -s），你将会得到一个有 root 权限的交互式的 shell。

4.请记住，-s命令行参数给你一个有 root 权限的 shell，但那不是 root 环境 —— 还是执行的你自己的.bashrc。例如，在sudo -s运行的新 shell 里，执行whoami命令仍会返回你的用户名，而非 root 。

-i 选项

-i选项和-s选项相像。然而，还是有点区别。一个重要的区别是-i给你的是 root 环境，意味着原用户的.bashrc被忽略。这就像没有显式地用 root 登录也能成为 root 。此外，你也不用输入 root 用户密码。

su、sudo su、sudo -i 的区别

补充…

查看日志文件

在 ubuntu 中，sudo 的日志默认被记录在 /var/log/auth.log 文件中。当我们执行 sudo 命令时，相关日志都是会被记录下来的。比如下图中显示的就是一次执行 sudo 命令的日志：

在 CentOS 中查看日志/vat/log/secure：

[root@localhost ~]# tail /var/log/secureApr 5 13:55:58 localhost su: pam_unix(su-l:session): session opened for user tom by root(uid=0)Apr 5 13:56:11 localhost su: pam_unix(su-l:session): session closed for user tomApr 5 13:56:17 localhost passwd: pam_unix(passwd:chauthtok): password changed for tomApr 5 13:56:17 localhost passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was enteredApr 5 13:56:23 localhost su: pam_unix(su-l:session): session opened for user tom by root(uid=0)Apr 5 13:56:43 localhost sudo:tom : TTY=pts/0 ; PWD=/home/tom ; USER=root ; COMMAND=list##tom以管理员身份执行了list命令Apr 5 14:00:50 localhost sudo:tom : TTY=pts/0 ; PWD=/home/tom ; USER=root ; COMMAND=/usr/sbin/useradd test1 ##tom以管理员身份执行了useradd命令，添加用户test1Apr 5 14:00:50 localhost useradd[2128]: new group: name=test1, GID=501Apr 5 14:00:50 localhost useradd[2128]: new user: name=test1, UID=501, GID=501, home=/home/test1, shell=/bin/bashApr 5 14:07:15 localhost su: pam_unix(su-l:session): session closed for user tom

以后可以查看日志文件分析主机是否遭到入侵攻击，或者查看某用户登录进来并使用特殊权限执行了哪些指令等。所以我们要实时监控此文件的动向。

参考示例

以用户 mysql 的身份执行命令 pwd

当前登录用户是 root，我要以 mysql 的身份执行命令 pwd，命令如下：

[root@htlwk0001host ~]# sudo -u mysql pwd/root

以用户 root 的身份执行命令 pwd

当前登录用户是 mysql，我要以 root 的身份执行命令 pwd，命令语句如下：

[mysql@htlwk0001host root]$ sudo pwd[sudo] mysql 的密码：mysql 不在 sudoers 文件中。此事将被报告。

注：

1.sudo 没有使用选项-u来指定其它用户，默认是 root 用户

2.从上面输出结果可以知道，使用命令 sudo，需要输入当前登录用户自己的密码

3.当前登录用户没有在/etc/sudoers文件中，所以不能使用命令 sudo

这个命令相当于使用 root 超级用户重新登录一次 shell，只不过密码是当前登录用户的密码。而且重要是，该命令会重新加载/etc/profile文件以及/etc/bashrc文件等系统配置文件，并且还会重新加载 root 用户的$SHELL环境变量所对应的配置文件 ，比如：root 超级用户的$SHELL是/bin/bash，则会加载/root/.bashrc等配置。如果是/bin/zsh，则会加载/root/.zshrc等配置，执行后是完全的 root 环境。

以 root 的权限执行上一条命令

如果由于你忘了使用 sudo 而导致命令行返回一个错误，只需输入sudo !!就可以用sudo来执行上一条指令：

[mysql@htlwk0001host ~]$ sudo !!

以 root 的权限编辑指定的文件

[root@htlwk0001host mysql]# sudo -e /root/student.txt

使用命令sudo，如果没有使用选项-u指定用户，默认是root用户。这条命令等效下面这条指令：

[root@htlwk0001host mysql]# sudoedit /root/student.txt

普通用户切换成 root 身份

当前登录用户是mysql，想切换成用户root，可以执行下面的命令：

[mysql@htlwk0001host ~]$ sudo -i[sudo] mysql 的密码：

注：

1.这里是输入用户mysql自己的登录密码。

2.必须在文件/etc/sudoers中配置用户mysql有关sudo的权限（即授权），用户 mysql 才能使用命令 sudo。

3.选项-i，表示以目标用户 root 登录 shell，这样切换成用户 root 后，相关的运行环境也改变成用户 root 的运行环境，感觉好像就是以用户 root 登录 shell 一样，其实还是有区别的，具体需要参阅手册。

也可以使用命令su切换成root用户：

[mysql@htlwk0001host ~]$ su root密码：

这里需要输入用户 root 的登录密码。

使用 root 的身份执行最近一条指令

如果由于你忘了使用 sudo 而导致命令行返回一个错误，只需输入sudo !!就可以用sudo来执行上一条指令。

使用 sudo 切换 Shell 类型

如果你需要执行很多条需要 root 权限的命令，你可以临时切换整个命令行 shell 来取得 root 级别的访问权限。方法就是先输入sudo -s，回车后再键入你的密码。

感觉-s选项有点类似-i选项，都可以切换指定用户身份。

切换成指定的用户

[root@htlwk0001host ~]# sudo -u mysql -i[mysql@htlwk0001host ~]$

或者

[root@htlwk0001host ~]# sudo -u mysql -s[mysql@htlwk0001host root]$

感觉-s选项有点类似-i选项，都可以切换成指定的用户身份。但是两者肯定有区别，我没有研究出本质的区别，目前可以知道的就是使用选项-i切换后当前工作目录会改成目标用户的家目录，而选项-s则没有改变，但是这点并不是很重要，我查看了两种选项切换后的环境变量，也都改成了目标用户的环境变量。

重要：请注意 su 命令也能让你切换用户（默认切换到 root ）。这个命令需要你输入 root 密码。为了避免这一点，你可以使用 sudo 执行它

[mysql@htlwk0001host root]$ sudo su[sudo] mysql 的密码： [root@htlwk0001host ~]#

这样你只需要输入你的登录密码。

显示当前用户可以用 sudo 执行哪些命令

[lamp@localhost ~]$ sudo -l[sudo] password for lamp: # 需要输入lamp用户的密码User lamp may run the following commands on this host:(root) /sbin/shutdown -r now

可以看到，lamp 用户拥有了shutdown -r now的权限。这时，lamp 用户就可以使用sudo执行如下命令重启服务器：

[lamp@localhost ~]$ sudo /sbin/shutdown -r now

通过加入群组的方式给普通用户授权

ubuntu 系统默认创建了一个名为 sudo 的组。只要把用户加入这个组，用户就具有了 sudo 的权限。

至于如何把用户加入 sudo 组，您可以直接编辑 /etc/group 文件，当然您得使用一个有 sudo 权限的用户来干这件事：

$ sudo vim /etc/group

在 sudo 组中加入新的用户，要使用逗号分隔多个用户：

sudo:x:27:nick,jack

或者您可以使用 usermod 命令把用户 jack 添加到一个 sudo 用户组中：

$ sudo usermod -a -G sudo jack

上面的设置中我们把用户 jack 添加到了 sudo 组中，所以当用户 jack 登录后就可以通过 sudo 命令以 root 权限执行命令了！