Linux– su和sudo 切換使用者

su 切換使用者

用法：su [選項] [-] [使用者 [引數]… ]

- ：以 login-shell 方式進行登入
不加 - :以 no-login-shell 方式進行登入
-c：只進行一次在該使用者下使用命令

login-shell 與 no-login-shell 的區別
login-shell 登入時先去讀取 /etc/profile， 然後按照順序讀取 ~/.bash_profile 或者 ~/.bash_login 或者 ~/.profile ，這三個個人配置檔案只要按照順序讀取到一個就不會讀取後面的配置檔案。
no-login-shell 的方式登入時不會去讀取/etc/profile 和 ~/.bash_profile(or ~/.bash_login or ~/.profile)內容。
以 no-login-shell 的方式登入，從 tom 切換到 root 為例，可以看出，以 no-login-shell 的方式，切換登入時不會去載入 root 的環境變數，依然保持著 tom 的環境變數，而以 login-shell 的方式，則會去載入 root 的環境變數。
no-login-shell 的方式切換：

[tom@localhost ~]$ su
密碼：
[root@localhost tom]# env | grep `tom`
USER=tom
PATH=/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/tom/bin
MAIL=/var/spool/mail/tom
PWD=/home/tom
LOGNAME=tom

login-shell 的方式切換（一般採用）：　　

[tom@localhost ~]$ su - root
密碼：
[root@localhost ~]# env | grep `tom`
無結果
[root@localhost ~]# env | grep `root`
USER=root
MAIL=/var/spool/mail/root
PATH=/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/linux.i386
PWD=/root
HOME=/root
LOGNAME=root

-c 只進行一次在該使用者下使用命令，例如　

[root@localhost ~]# su - tom -c "touch su-test"
[root@localhost ~]# su - tom
[tom@localhost ~]$ ll
-rw-r--r-- 1 tom  home    0 2月  18 14:24 su-test

sudo 切換使用者

su 需要被切換使用者的密碼，sudo不需要被切換使用者的密碼，只有 /etc/sudoers 檔案內有的使用者才可以執行此命令

1.將 tom 使用者加入 /etc/sudoers 檔案中

#編輯 /etc/sudoers 檔案
[root@localhost ~]# visudo

2.找到如下內容，並且將 tom 加入，儲存退出　　

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
tom     ALL=(ALL)       ALL
#如果想要切換執行的時候不需要輸入自己的密碼，則配置成如下
tom     ALL=(ALL)       NOPASSWD:ALL
或者讓一個使用者組的使用者都可以使用 sudo，則配置如下
## Same thing without a password
%使用者組名  ALL=(ALL)       NOPASSWD: ALL

3.使用 root 身份進行操作，sudo -u 使用者 命令　　

[tom@localhost ~]$ head -n 3 /etc/sudoers
head: 無法開啟"/etc/sudoers" 讀取資料: 許可權不夠
[tom@localhost ~]$ sudo -u root head -n 3 /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##

將 su 和 sudo 結合，使用 sudo 切換到 root 並且使用自己的密碼　　

1.更改配置檔案 /etc/sudoers 如下

tom     ALL=(ALL)       /bin/su -
備註：如果想要 tom 切換到 root 而禁止使用某些命令，可以在前面加一個 ! ,如禁止 tom 使用 sudo 執行更改密碼操作：
tom     ALL=(ALL)       !/user/bin/passwd

2.使用自己的密碼切換到 root 使用者下　　

[tom@localhost ~]$ sudo su -
[sudo] password for tom: 
[root@localhost ~]# 

設定使用者不可登陸　　

1.對於已有的使用者，可以在 /etc/passwd 檔案中可以直接加入 /sbin/nologin 使得該使用者不可登入

tom:x:505:505:tom,088-88888888,18899990000,088-666666:/home/tom:/sbin/nologin

2.對於新建的使用者，直接設定不可登入

[root@localhost etc]# useradd jun -s /sbin/nologin

3.登入時，不能登入的使用者給予提示，在 etc 目錄下增加 nologin.txt　　

[root@localhost etc]# cat nologin.txt
不能登陸，因為我不能讓 tom 登入
[root@localhost etc]# su - tom
不能登陸，因為我不能讓 tom 登入