su命令和sudo命令都讓用戶可以執(zhí)行非特權(quán)用戶（除root用戶之外的所有人）無(wú)權(quán)執(zhí)行的系統(tǒng)管理任務(wù)。一些人偏愛sudo命令，比如Seth Kenlon最近發(fā)表了《在linux上使用sudo的五個(gè)理由》，該文盛贊sudo的諸多優(yōu)點(diǎn)。

另一方面，我偏愛su命令，更喜歡用它而不是用sudo來(lái)處理我從事的大部分系統(tǒng)管理工作。我在本文中比較了這兩個(gè)命令，解釋了為什么我更喜歡su而不是sudo，但仍然同時(shí)使用這兩個(gè)命令。

系統(tǒng)管理員的歷史觀點(diǎn)

su命令和sudo命令是為不同的世界設(shè)計(jì)的。早期的Unix計(jì)算機(jī)需要全職系統(tǒng)管理員，他們使用root帳戶作為唯一的管理帳戶。在那個(gè)時(shí)代，擁有root密碼的人以root身份登錄電傳打字機(jī)或CRT終端，然后執(zhí)行管理Unix計(jì)算機(jī)所必需的管理任務(wù)。root用戶也會(huì)擁有非root帳戶來(lái)處理非root活動(dòng)，比如編寫文檔和管理個(gè)人電子郵件。

這些計(jì)算機(jī)上通常有許多非root用戶帳戶，這些用戶都不需要全面的root訪問權(quán)。用戶可能需要以root身份運(yùn)行一兩個(gè)命令，但很少這樣。許多系統(tǒng)管理員以root身份登錄，完成工作后退出root會(huì)話。有時(shí)需要整天保持以root身份登錄的狀態(tài)。大多數(shù)系統(tǒng)管理員之所以很少使用sudo，是由于它需要輸入比運(yùn)行基本命令所需的更多內(nèi)容。這些工具都可以提升權(quán)限，但方式大不相同。這種差異歸因于它們最初面向不同的用例。

sudo

sudo的初衷是讓root用戶能夠向一兩個(gè)非root用戶授予這一權(quán)限：訪問他們經(jīng)常需要的一兩個(gè)特定命令。sudo命令使非root用戶可以臨時(shí)訪問執(zhí)行任務(wù)所需的提升權(quán)限，比如添加和刪除用戶、刪除屬于其他用戶的文件、安裝新軟件以及通常管理現(xiàn)代Linux主機(jī)所需的任何任務(wù)。

允許用戶訪問需要提升權(quán)限的一兩個(gè)常用命令可以讓系統(tǒng)管理員避免用戶的大量請(qǐng)求，并消除等待時(shí)間。sudo命令并不將用戶帳戶切換成root；大多數(shù)非root用戶永遠(yuǎn)不應(yīng)該擁有全面的root訪問權(quán)。在大多數(shù)情況下，sudo讓用戶可以發(fā)出一兩個(gè)命令，然后允許權(quán)限提升到期失效。在這個(gè)短暫的間隔（通常設(shè)置為5分鐘），用戶可以執(zhí)行任何需要提升權(quán)限的必要管理任務(wù)。如果用戶需要繼續(xù)使用提升的權(quán)限，但尚未準(zhǔn)備好發(fā)出另一個(gè)與任務(wù)相關(guān)的命令，可以運(yùn)行sudo -v命令，重新驗(yàn)證登錄信息，并將間隔時(shí)間再延長(zhǎng)5分鐘。

使用sudo命令確實(shí)有這個(gè)副作用：生成非root用戶使用的命令的日志條目及其ID。日志便于事后分析問題，以確定用戶何時(shí)需要加強(qiáng)培訓(xùn)。

su

su命令旨在允許非root用戶將權(quán)限級(jí)別提升到root——實(shí)際上就是非root用戶成為root用戶。唯一的要求是用戶需要知道root密碼。這方面沒有任何限制，因?yàn)橛脩衄F(xiàn)在以root身份登錄。su命令提供的權(quán)限提升沒有時(shí)間限制。用戶以root身份想工作多久就可以多久，無(wú)需重新驗(yàn)證身份。完成工作后，用戶可以發(fā)出exit命令，從root恢復(fù)到自己的非root帳戶。

爭(zhēng)議和變化

最近su與sudo的使用存在一些分歧。“真正的[系統(tǒng)管理員]不使用sudo”——Paul Venezia

Venezia在其文章中稱，對(duì)于許多充當(dāng)系統(tǒng)管理員的人來(lái)說，sudo被用作不必要的道具。他沒有用太多的篇幅來(lái)捍衛(wèi)或解釋這一立場(chǎng)，只是聲稱這是事實(shí)。我同意他的看法，對(duì)于系統(tǒng)管理員來(lái)說是這樣。我們不需要輔助輪來(lái)完成我們的工作。實(shí)際上，輔助輪很礙事。

然而，時(shí)代在“變化” ——美國(guó)民謠之父Bob Dylan是對(duì)的。自單人單機(jī)時(shí)代問世以來(lái)，管理計(jì)算機(jī)的方式發(fā)生了顯著變化。在許多環(huán)境中，計(jì)算機(jī)的用戶也是管理員。因此有必要為那些用戶提供root的部分權(quán)限。一些現(xiàn)代發(fā)行版（比如Ubuntu及衍生版）經(jīng)配置后，可將sudo命令專門用于特權(quán)任務(wù)。在那些發(fā)行版中，不可能以root用戶身份直接登錄或者甚至使用su成為root，因此需要sudo命令允許非root用戶訪問root權(quán)限。在這種環(huán)境下，所有系統(tǒng)管理任務(wù)都使用sudo來(lái)執(zhí)行。

如果鎖定root帳戶，并將常規(guī)用戶帳戶添加到wheel組，可以進(jìn)行這種配置。這種配置很容易被規(guī)避。

不妨在任何Ubuntu主機(jī)或虛擬機(jī)上先進(jìn)行試驗(yàn)。我安裝了Ubuntu 16.04 LTS1，并使用VirtualBox將它安裝在虛擬機(jī)中。我在安裝過程中為這個(gè)試驗(yàn)創(chuàng)建了一個(gè)非root用戶student，并使用了一個(gè)簡(jiǎn)單的密碼。

以用戶student身份登錄，打開終端會(huì)話。查看/etc/shadow文件中root對(duì)應(yīng)的條目，加密的密碼存儲(chǔ)在該文件中。

student@ubuntu1:~$ cat /etc/shadowcat: /etc/shadow: Permission denied1.2.

權(quán)限被拒絕，因此我們無(wú)法查看/etc/shadow文件。這對(duì)所有發(fā)行版都很常見，旨在防止非特權(quán)用戶查看和訪問加密的密碼，不然可以使用常見的黑客工具破解這些密碼。現(xiàn)在不妨嘗試使用su –成為root。

student@ubuntu1:~$ su -Password: <Enter root password – but there isn't one>su: Authentication failure1.2.3.

左右滑動(dòng)查看完整代碼這會(huì)失敗，因?yàn)閞oot帳戶沒有密碼，被鎖在外面。使用sudo命令查看/etc/shadow文件。

student@ubuntu1:~$ sudo cat /etc/shadow[sudo] password for student: <enter the student password>root:!:17595:0:99999:7:::<snip>student:$6$tUB/y2dt$A5ML1UEdcL4tsGMiq3KOwfMkbtk3WecMroKN/:17597:0:99999:7:::<snip>1.2.3.4.5.6.

左右滑動(dòng)查看完整代碼我截?cái)嗔溯敵鼋Y(jié)果，只顯示root和student用戶對(duì)應(yīng)的條目。我還縮短了加密的密碼，因此條目將放在一行中。字段由冒號(hào)（:）隔開，第二個(gè)字段是密碼。請(qǐng)注意，root的密碼字段是bang，即是個(gè)感嘆號(hào)（!）。這表明該帳戶已被鎖住，無(wú)法使用。

現(xiàn)在，要使用root帳戶成為真正的系統(tǒng)管理員，就需要為root帳戶設(shè)置密碼。

student@ubuntu1:~$ sudo su -[sudo] password for student: <Enter password for student>root@ubuntu1:~# passwd rootEnter new UNIX password: <Enter new root password>Retype new UNIX password: <Re-enter new root password>passwd: password updated successfullyroot@ubuntu1:~#1.2.3.4.5.6.7.

左右滑動(dòng)查看完整代碼現(xiàn)在您可以直接在控制臺(tái)上以root身份登錄，或者直接使用su成為root，而不是對(duì)每個(gè)命令使用sudo。當(dāng)然，每當(dāng)您想以root身份登錄，完全可以就使用sudo su -，但何必勞這個(gè)神？

請(qǐng)別誤解我的意思。Ubuntu及上下游衍生版之類的發(fā)行版非常好，這些年來(lái)我就用過其中幾個(gè)。在使用Ubuntu及相關(guān)發(fā)行版時(shí)，我最先做的事情之一是設(shè)置root密碼，以便我可以直接以root身份登錄。

其他發(fā)行版（如Fedora及衍生版）如今在安裝過程中提供幾個(gè)有意思的選擇。我注意到這點(diǎn)的第一個(gè)Fedora版本是Fedora 34。可以在頁(yè)面上找到這些安裝選項(xiàng)之一，以設(shè)置root密碼。新選項(xiàng)允許用戶以鎖定Ubuntu root帳戶的方式選擇“鎖定root帳戶”。該頁(yè)面上還有一個(gè)選項(xiàng)，允許使用密碼，以root身份遠(yuǎn)程SSH登錄到該主機(jī)，但僅當(dāng)root帳戶被解鎖時(shí)才適用。

頁(yè)面上的第二個(gè)選項(xiàng)允許創(chuàng)建非root用戶帳戶。該頁(yè)面上的選項(xiàng)之一是“將該用戶設(shè)為管理員”。選中該選項(xiàng)后，用戶ID被添加到名為wheel組的特殊組中，授權(quán)該組成員可以使用sudo命令。Fedora 36甚至在該復(fù)選框的描述中提到了wheel組。

可以將多個(gè)非root用戶設(shè)為管理員。使用該方法指定為管理員的任何人都可以使用sudo命令，在Linux計(jì)算機(jī)上執(zhí)行所有管理任務(wù)。

Linux只允許在安裝過程中創(chuàng)建一個(gè)非root用戶，因此其他新用戶可以在創(chuàng)建時(shí)添加到wheel組中。root用戶或另一個(gè)管理員可以使用文本編輯器或usermod命令，將現(xiàn)有用戶直接添加到wheel組。在大多數(shù)情況下，今天的管理員只需要執(zhí)行幾項(xiàng)基本任務(wù)，比如添加新打印機(jī)、安裝更新或新軟件，或者刪除不再需要的軟件。這些GUI工具需要root或管理員密碼，接受指定為管理員的用戶輸入的密碼。

我如何在Linux上使用su和sudo？

我既使用su又使用sudo。它們?cè)谖业南到y(tǒng)管理員工具箱中都有重要的位置。

我無(wú)法鎖定root帳戶，因?yàn)槲倚枰褂盟鼇?lái)運(yùn)行我的Ansible劇本和為執(zhí)行備份而編寫的rsbu Bash程序。這兩個(gè)命令都需要以root身份運(yùn)行，我編寫的另外幾個(gè)管理Bash腳本也是如此。我使用su命令將用戶切換成root用戶，那樣我就可以執(zhí)行這些任務(wù)和其他許多常見任務(wù)。在確定和解決問題時(shí)，使用su將我的權(quán)限提升到root尤其有用。

當(dāng)非root用戶需要執(zhí)行需要root權(quán)限的任務(wù)時(shí)，我將sudo命令用于這些任務(wù)。我在sudoers文件中設(shè)置了非root帳戶，以便只訪問完成任務(wù)所需的一兩個(gè)命令。當(dāng)我只需要運(yùn)行一兩個(gè)擁有升級(jí)權(quán)限的快速命令時(shí)，我自己也會(huì)使用sudo。

結(jié)論

使用哪種工具其實(shí)不如完成工作那么重要。使用vim或Emacs、systemd或SystemV、RPM或DEB、sudo或su，并沒有那么大的區(qū)別。

歸根到底，應(yīng)該使用最順手、最適合自己的工具。Linux和開源的最大優(yōu)點(diǎn)之一便是，我們通常都有許多可供選擇工具幫助我們完成任務(wù)。su和sudo各有優(yōu)點(diǎn)，適當(dāng)用于預(yù)期的用例時(shí)，兩者都表現(xiàn)不俗。我偏愛用su處理自己的大部分工作，因?yàn)樗钸m合我和我的工作流程。

參考鏈接：

ps://opensource.com/article/22/6/linux-su-vs-sudo-sysadmin