使用者身份切換

su 轉換用戶身份。 sudo 不需要 root 的密碼，卻可執行 root 的工具。 visudo 編輯 /etc/sudoers。 su：轉換用戶身份。 [root@linux ~]# su [-lcm] [username] 參數： - ：變換身份為 root，取得一個新的 shell，使用 root 的環境設定參數檔，如 /root/.bash_profile 等。 -l username ：變換身份為 username，且使用 username 的所有相關環境設定檔。 -m,-p ：使用目前的環境設定，而不重新讀取新使用者的設定檔。 -c command ：僅進行一次指令 command。 [dywang@dywOffice ~]$ su Password: [root@dywOffice dywang]# # su 與 su - 之差別 [dywang@dywHome2 ~]$ echo $SHLVL 4 [dywang@dywHome2 ~]$ su Password: [root@dywHome2 dywang]# pwd /home/dywang [root@dywHome2 dywang]# echo $SHLVL 5 [root@dywHome2 dywang]# exit exit [dywang@dywHome2 ~]$ echo $SHLVL 4 [dywang@dywHome2 ~]$ su - Password: [root@dywHome2 ~]# pwd /root [root@dywHome2 ~]# echo $SHLVL 1 # 一般使用者變換至一般使用者 [dywang@dywHome2 ~]$ su ddyw Password: [ddyw@dywHome2 dywang]$ pwd /home/dywang [ddyw@dywHome2 dywang]$ echo $SHLVL 5 [ddyw@dywHome2 dywang]$ exit exit [dywang@dywHome2 ~]$ su -l ddyw Password: [ddyw@dywHome2 ~]$ pwd /home/ddyw [ddyw@dywHome2 ~]$ echo $SHLVL 1 [ddyw@dywHome2 ~]$ exit [dywang@dywHome2 ~]$ su -m ddyw Password: * Warning: SSH_AUTH_SOCK in environment is invalid; ignoring it * Warning: GPG_AGENT_INFO in environment is invalid; ignoring it * Warning: removing empty lock file rm: cannot remove `/home/dywang/.keychain/dywHome2-lockf': Permission denied * Warning: removing empty lock file 以下省略 [dywang@dywHome2 ~]$ su -m root Password: [root@dywHome2 ~]# # root 變換至一般使用者 [root@dywHome2 tmp]# su ddyw [ddyw@dywHome2 tmp]$ echo $SHLVL 2 [ddyw@dywHome2 tmp]$ su - ddyw Password: [ddyw@dywHome2 ~]$ echo $SHLVL 1 [root@dywHome2 tmp]# echo $SHLVL 1 [root@dywHome2 tmp]# su -m ddyw bash: /root/.bashrc: Permission denied [ddyw@dywHome2 tmp]$ echo $SHLVL 2 [ddyw@dywHome2 tmp]$ exit exit sudo：不需要 root 的密碼，卻可執行 root 的工具。 [root@linux ~]# sudo [-u [username|#uid]] command 參數： -u ：後面可以接使用者帳號名稱，或者是 UID。例如 UID 是 500 的身份，可以： -u #500 來作為切換到 UID 為 500 的那位使用者。 [dywang@dywOffice ~]$ sudo mkdir /root/testing Password: [dywang@dywOffice ~]$ ll /root/testing ls: /root/testing: Permission denied [dywang@dywOffice ~]$ su Password: [root@dywOffice dywang]# ll /root/ total 12 drwx------ 2 root root 4096 Jul 12 19:35 drakx/ drwxr-xr-x 2 root root 4096 Aug 7 12:14 testing/ drwx------ 4 root root 4096 Aug 7 10:33 tmp/ [root@dywOffice dywang]# exit exit [dywang@dywOffice ~]$ sudo rm -rf /root/testing 當使用者執行 sudo 時，系統會主動的去尋找 /etc/sudoers 檔案，判斷該使用者是否有執行 sudo 的權限；若使用者具有可執行 sudo 的權限，便讓使用者『輸入使用者自己的密碼』來確認；若密碼輸入成功，便開始進行 sudo 後續接的指令； root 執行 sudo 時，不需要輸入密碼；若欲切換的身份與執行者身份相同，那也不需要輸入密碼。 visudo：編輯 /etc/sudoers。 visudo 是以 vi 開啟 /etc/sudoers，不過儲存離開時，visudo 會額外檢查 /etc/sudoers 內部的語法，以避免使用者輸入錯誤的資訊。加入一行『 dywang ALL=(ALL) ALL 』代表的意義是：使用者帳號登入的主機 = (可以變換的身份) 可以下達的指令 [root@dywOffice dywang]# visudo # User privilege specification root ALL=(ALL) ALL dywang ALL=(ALL) ALL 若系統有個 Web 的軟體是由使用者 www 進行編輯，想要讓使用者 dywang 可以用帳號 www 進行編輯： dywang ALL = (www) ALL 以群組進行規範。例如：讓屬於群組 grpcsie 的使用者都能夠進行 sudo ： %grpcsie ALL = (ALL) ALL ## 『使用者帳號』的欄位前面加上『%』表示群組。讓群組內的使用者在使用 sudo 時不需要輸入密碼，可在『可以下達的指令』欄位內多加入參數『NOPASSWD:』： %csie ALL = (ALL) NOPASSWD: ALL 練習題如何變換身份為 root？ Sol. su - 或 su 如何變換身份為 csie，並使用 csie 的所有相關環境設定檔？ Sol. su -l csie 如何變換身份為 csie，但使用目前的環境設定，而不重新讀取新使用者的設定檔？ Sol. su -m csie 或 su -p csie 如何只執行 root 權限的指令 cmd 一次，而不變換身份為 root？ Sol. su -c cmd 如何執行 root 權限的指令 cmd，而不變換身份為 root？ Sol. sudo cmd 使用者是否具有可執行 sudo 的權限，記錄在那個設定檔？ Sol. /etc/sudoers 若使用者具有可執行 sudo 的權限，會讓使用者輸入誰的密碼來確認？ Sol. 使用者本身的密碼 root 執行 sudo 需不需密碼來確認？ Sol. 不需要為什麼不建議直接以 vi 修改 /etc/sudoers，而是執行 visudo 來編輯？ Sol. visudo 儲存離開時會額外去檢查 /etc/sudoers 內部的語法，以避免使用者輸入錯誤的資訊。若系統有個 Web 的軟體是由使用者 www 進行編輯，想要讓使用者 dywang 可以用帳號 www 進行編輯，請以 visudo 加入正確的一行。 Sol. dywang ALL=(www) ALL 若要讓屬於群組 grpcsie 的使用者都能夠進行 sudo，請以 visudo 加入正確的一行。 Sol. %grpcsie ALL = (ALL) ALL 若要讓屬於群組 grpcsie 的使用者都能夠進行 sudo，且不需要輸入密碼，請以 visudo 加入正確的一行。 Sol. %grpcsie ALL = (ALL) NOPASSWD: ALL Next: 硬碟配額 (Quota) Up: 群組管理與身份切換 Previous: 群組管理指令 Contents DYWANG_HOME