Linux中切换用户身份需用su或sudo:su依赖目标用户密码切换会话,sudo基于当前用户密码授权执行命令,支持细粒度权限控制、日志审计与最小权限原则。
如果您在Linux系统中需要临时以其他用户身份执行命令或登录,必须使用特定的命令来切换用户身份。以下是实现用户身份切换的具体方法及su与sudo命令的核心差异说明:
一、使用su命令切换用户
su(switch user)命令用于切换当前shell会话的用户身份,可切换至普通用户或root用户,需目标用户的密码验证。默认不带参数时切换为root用户,且环境变量保持原用户状态;使用“-”或“-l”选项可加载目标用户的完整环境。
1、切换至root用户并继承其环境变量:
输入 su -l 或 su -,然后输入root密码。
2、切换至指定普通用户(如testuser)并加载其环境:
输入 su -l testuser,然后输入testuser的密码。
3、仅临时执行一条命令而不启动新shell:
输入 su -c "command" username,例如 su -c "ls /root" root,需输入root密码。
二、使用sudo命令以其他用户权限执行命令
sudo(superuser do)允许授权用户在不共享root密码的前提下,以指定用户(默认为root)身份执行特定命令。其行为由/etc/sudoers文件配置控制,支持细粒度权限分配和操作日志记录。
1、以root身份执行单条命令:
输入 sudo command,例如 sudo apt update,需输入当前用户的密码(若已配置密码缓存则可能免输)。
2、以指定非root用户身份执行命令:
输入 sudo -u username command,例如 sudo -u www-data ls /var/www。
3、启动一个具有root权限的交互式shell:
输入 sudo -i 或 sudo -s,前者加载root环境,后者复用当前环境变量。
三、配置sudo权限(通过visudo编辑)
直接修改/etc/sudoers文件存在语法风险,必须使用visudo命令进行安全编辑,该命令会在保存前校验语法正确性,避免因配置错误导致sudo功能失效。
1、以root身份运行 visudo 命令打开配置文件。
2、在文件末尾添加授权行,例如授予用户alice完全root权限:
alice ALL=(ALL:ALL) ALL。
3、限制alice仅能以www-data身份运行systemctl命令:
alice ALL=(www-data) /bin/systemctl。
4、允许组users中的所有成员无需密码执行apt命令:
%users ALL=(ALL) NOPASSWD: /usr/bin/apt。
四、检查当前用户sudo权限范围
sudo -l命令用于列出当前用户被授权执行的命令列表,有助于确认配置是否生效及权限边界,避免越权操作或权限不足导致的执行失败。
1、查看当前用户所有可用sudo命令:
输入 sudo -l,系统将提示输入密码(若未启用NOPASSWD)并显示授权详情。
2、以特定用户身份检查其sudo权限:
输入 sudo -l -U username,例如 sudo -l -U bob,需当前用户具备对bob的sudo查看权限。
五、su与sudo的关键区别对比
su依赖目标用户密码,切换后完全获得该用户全部权限与环境;sudo基于原始用户身份认证,按策略授予最小必要权限,支持命令级控制、日志审计与超时密码缓存,更符合最小权限原则与安全合规要求。
1、认证方式不同:
su要求输入目标用户的密码;sudo要求输入当前用户的密码(除非配置NOPASSWD)。
2、权限粒度不同:
su提供全用户会话接管能力;sudo可精确到单个命令、参数范围甚至运行用户。
3、日志与审计支持不同:
su默认仅记录登录事件;sudo默认将每次执行写入/var/log/auth.log,包含调用者、目标用户、命令及时间戳。
