首页 > 系统相关 >#yyds干货盘点#Linux中root与sudo的用法与区别(学习笔记)

#yyds干货盘点#Linux中root与sudo的用法与区别(学习笔记)

时间:2023-04-09 17:34:56浏览次数:63  
标签:yyds sudoers sudo 用户 命令 Linux 权限 root

Linux 下面有两个概念可能大家接触的比较多,一个是 sudo 命令,还有一个是 root 账户。Sudo 命令可以以最高权限执行命令,而 root 账户下所有命令都有最高权限,也就是相当于所有命令都默认加了 sudo。

那么 sudo 和 root 的区别到底是什么呢,为什么我们建议使用 sudo 而不是直接使用 root 账户?在本教程中,您将了解 root 访问、sudo 命令、如何使用 sudo 运行命令以及 sudo 访问和 root 之间的区别。

什么是 root?

root 是指 Linux 等类 Unix 系统中的超级用户帐户。它是用于系统管理的系统上具有最高访问权限的特权帐户。此根/超级用户帐户的用户标识符 (UID) 为零,无论帐户名称如何。

root 用户拥有整个系统的完全权限(root 特权)。它可以做诸如修改系统的核心部分、升级系统、更改系统配置以及启动、停止和重新启动所有正在运行的系统服务之类的事情。

以 root 身份登录(使用 su -)时,终端命令提示符符号从

$ echo 'You are in a normal shell'

变成

# echo 'This is a root shell'

在某些系统(如 Ubuntu)上,root 用户默认被锁定。

什么是 Sudo?

sudo (superuser do) 命令是一个命令行实用程序,它允许用户以 root 或其他用户身份执行命令。它提供了一种有效的方式来授予某些用户适当的权限以使用特定的系统命令或以 root 用户身份运行脚本。

虽然有点类似于 su 命令,但 sudo 的不同之处在于它默认需要用户的密码进行身份验证,而不是 su 需要的目标用户的密码。Sudo 也不会产生 root shell;相反,它以提升的权限运行程序或命令,不像 su,它产生一个 root shell。

使用 sudo,系统管理员可以执行以下操作:

  • 授予用户或用户组以提升或 root 权限运行某些命令的能力。
  • 查看每个使用 sudo 的用户的用户 ID 的日志。
  • 控制用户可以在主机系统上使用什么命令。

Sudo 会记录在 /var/log/auth.log 文件中执行的所有命令和参数的日志,可以在出现故障时进行分析。

sudoers 文件

sudo 使用默认的 sudoers 安全策略,并保留一个特殊的配置文件 /etc/sudoers。该文件可用于控制访问权限和密码提示超时。

注意:您必须具有提升的权限才能查看 sudoers 文件

打开 /etc/sudoers 文件;它应该是这样的:

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/
sbin:/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root    ALL=(ALL:ALL) ALL
# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "@include" directives:
@includedir /etc/sudoers.d

其中这行:

root         ALL=(ALL:ALL)ALL

意味着 root 用户拥有无限的权限并且能够在系统上运行任何命令。

%sudo ALL=(ALL:ALL)ALL

允许组 sudo 的所有成员执行任何命令。

注意:sudoers 文件中的 ‘%’ 代表一个组,而不是注释。

从 /etc/sudoers 文件的第一行可以看出:

# This file MUST be edited with the 'visudo' command as root

不要尝试直接编辑 sudoers 文件。使用具有 root 权限的 visudo 命令。

使用 sudo 运行命令很简单,只需要在命令前面加上 sudo 即可:

$ sudo command

一般来说会提示输入密码,输入密码后回车即可。

$ sudo command
[sudo]  password for user:

Sudo 对比 Root

最小权限原则是一种信息和计算机安全概念,它认为授予程序和用户执行任务所需的最少或最低限度的权限。

以 root 用户登录后,输入到终端的每一条命令都以系统最高权限运行,违反了最小权限原则。像 rm 这样的简单命令可用于删除核心根目录或文件,而不会在意外时提示用户。例如,如果您尝试使用以下命令删除 /etc 之类的根目录:

$ rm -rf /etc

当您以普通用户身份登录时,您将被拒绝许可。当以 root 身份登录时,不会显示任何提示,并且整个文件夹将被删除 – 这很可能会破坏您的系统,因为运行系统所需的特殊配置文件存储在 /etc 目录中。您也可能最终错误地格式化磁盘,并且系统不会提示您。

此缺陷还扩展到以 root 身份运行代码或应用程序;应用程序中的一个小错误可能会删除一些系统文件,因为该应用程序是在最高权限下运行的。

Sudo 提供细粒度的访问控制。它仅向需要它的特定程序授予提升的权限。您知道哪个程序以提升的权限运行,而不是使用 root shell(以 root 权限运行每个命令)。

Sudo 也可以配置为以另一个用户身份运行命令,指定允许哪些用户和组使用 sudo 运行命令,或者通过编辑 sudoers 文件设置以 root 权限运行程序的超时。

因此,不建议使用 root shell 运行命令,因为您破坏系统的机会要高得多。如果您需要更高权限或 root 权限来运行命令,请使用 sudo 确保只有该命令以 root 权限运行。

标签:yyds,sudoers,sudo,用户,命令,Linux,权限,root
From: https://blog.51cto.com/u_15452495/6178902

相关文章

  • 【linux】新机配置
    开启网络cd/etc/sysconfig/network-scripts/viifcfg-ens33 ... BOOTPROTO=dhcp ... ONBOOT=yessystemctlrestartnetwork安装网络查看工具yumsearchifconfigyuminstallnet-tools.x86_64开启sshyuminstallopenssh-servervim/etc/ssh/sshd_config ... Po......
  • Linux常用操作命令总结
    一、基础知识1.1Linux系统的文件结构/bin二进制文件,系统常规命令/boot系统启动分区,系统启动时读取的文件/dev设备文件/etc大多数配置文件/home普通用户的家目录/lib32位函数库/lib6464位库/media手动临时挂......
  • #yyds干货盘点#学习笔记3,Linux 安全强化 SSH 远程连接的方法
    7.使用SSH密钥连接连接到服务器的最安全方法之一是使用SSH密钥。使用SSH密钥时,无需密码即可访问服务器。另外,你可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。创建SSH密钥时,有两个密钥:Public和Private。公钥将上传到你要连接的服务器,......
  • win平台共享网络给linux板卡
    对于一些没有带无线网卡的linux板卡,进入系统后想要设置网络会比较麻烦,需要用网线连到路由器上让路由器去分配ip,这样我们才能通过ssh去访问设备,但是如果路由器离我们比较远或者根本没有路由器的时候这个方案是不行的,因此可以用电脑本身的网口来连接,之后共享电脑本身的网络来实现这......
  • 搭建SSH环境 [Arch Linux] [Xshell] [VirtualBox]
    搭建SSH环境[ArchLinux][Xshell][VirtualBox]1.主机ping通虚拟机网卡1:虚拟机能ping通主机+虚拟机能连接外网网卡2:主机能ping通虚拟机2.获取虚拟机IP(注意是网卡2的IP,即与主机在同一网关的IP)ifconfig此处我的虚拟机IP为192.168.56.101与主机VirtualBox网卡在同一......
  • Linux密码过期问题
    登录Linux服务器,遭遇Youarerequiredtochangeyourpasswordimmediately(passwordaged)问题。可以通过chage命令去掉这个过期机制呢。chage命令变更服务器的密码过期策略查看root用户的当前设定chage-lrootchage-lroot最近一次密码修改时间......
  • Linux shell command screen All In One
    LinuxshellcommandscreenAllInOnescreen#screen$screen--helpUse:screen[-opts][cmd[args]]or:screen-r[host.tty]Options:-aForceallcapabilitiesintoeachwindow'stermcap.-A-[r|R]Adaptallwindowstothenewdis......
  • OS-Linux-Ubuntu22.04x64-Python-C++调用Python缺少Python.h
    OS-Linux-Ubuntu22.04x64-Python-C++调用Python缺少Python.h使用C或C++扩展Python扩展和嵌入Python解释器Python3.10.11Python/CAPI参考手册Python3.11.3Python/CAPI参考手册参考https://www.cnblogs.com/lidabo/p/17043302.htmlhttps://blog.csdn.net/z......
  • #yyds干货盘点#掩盖系统上的操作
    touchfiletouch*statfilels–ltouch-d"2001-01-0120:00:00"filels-lfilenanotimestamps.sh#!/bin/bashif[$#-eq0];thenecho“Useasave(-s)orrestore(-r)parameter.”exit1fichmod+xtimestamps.sh./timestamps.shif[$1......
  • Linux中是谁占用了我的端口
    Addressalreadyinuse这个提示,想必大家遇到过,怎么能快速找到问题并解决呢?下面有几种姿势可以了解一下.在对网络连接或特定于应用程序的问题进行故障排除时,首先要检查的事情之一应该是系统上实际使用了哪些端口,以及哪个应用程序正在侦听特定的端口。本文介绍了如何使用netstat......