这篇文章将指导你如何在 Samba AD DC 服务器上创建共享目录，然后通过 GPO 把共享目录挂载到域中的其它 Windows 成员机，并且从 Windows 域控的角度来管理共享权限。

这篇文章也包括在加入域的 Linux 机器上如何使用 Samba4 域帐号来访问及挂载共享文件。

需求：

1、在 Ubuntu 系统上使用 Samba4 来创建活动目录架构

2、在 Linux 命令行下管理 Samba4 AD 架构

3、使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构

4、在 Windows 下管理 Samba4 AD 域管制器 DNS 和组策略

5、将另一台 Ubuntu DC 服务器加入到 Samba4 AD DC 实现双域控主机模式

6、使用 Rsync 命令同步两个 Samba4 AD DC 之间的 SysVol 目录

第一步：创建 Samba 文件共享

1、在 Samba AD DC 服务器上创建共享非常简单。首先创建一个你想通过 SMB 协议来分享文件的目录，然后添加下面的文件系统权限，这是为了让 Windows AD DC 管理员给 Windows 客户端分配相应的共享权限。

假设在 AD DC 服务器上有一个新的共享目录 '/nas' ，执行下面的命令来授予必要的权限。

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

创建 Samba 共享目录

2、当你在 Samba4 AD DC 服务器上创建完成共享目录之后，你还得修改 samba 配置文件，添加下面的参数以允许通过 SMB 协议来共享文件。

# nano /etc/samba/smb.conf

在配置文件末尾添加以下内容：

[nas]
path = /nas
read only = no

配置 Samba 共享目录

3、最后，你需要通过下面的命令重启 Samba AD DC 服务，以让修改的配置生效：

# systemctl restart samba-ad-dc.service

第二步：管理 Samba 共享权限

4、我们准备使用在 Samba AD DC 服务器上创建的域帐号（包括用户和组）来访问这个共享目录（禁止 Linux 系统用户访问共享目录）。

可以直接通过 Windows 资源管理器来完成 Samba 共享权限的管理，就跟你在 Windows 资源管理器中设置其它文件夹权限的方法一样。

首先，使用具有管理员权限的 Samba4 AD 域帐号登录到 Windows 机器。然而在 Windows 机器上的资源管理器中输入双斜杠和 Samba AD DC 服务器的 IP 地址或主机名或者是 FQDN 来访问共享文件和设置权限。

\\adc1
或
\\192.168.1.254
或
\\adc1.tecmint.lan

从 Windows 机器访问 Samba 共享目录

5、右键单击共享文件，选择属性来设置权限。打开安全选项卡，依次修改域账号和组权限。使用高级选项来调整权限。

配置 Samba 共享目录权限

可参考下面的截图来为指定 Samba AD DC 认证用户设置权限。

设置 Samba 共享目录用户权限

6、你也可以使用其它方法来设置共享权限，打开计算机管理-->连接到另外一台计算机。

找到共享目录，右键单击你想修改权限的目录，选择属性，打开安全选项卡。你可以在这里修改任何权限，就跟上图的修改共享文件夹权限的方法一样。

连接到 Samba 共享目录服务器

管理 Samba 共享目录属性

为域用户授予共享目录权限

第三步：通过 GPO 来映射 Samba 文件共享

7、要想通过域组策略来挂载 Samba 共享的目录，你得先到一台已安装了 RSAT 工具 的服务器上，打开 AD DC 工具，右键单击域名，选择新建-->共享文件夹。

映射 Samba 共享文件夹

8、为共享文件夹添加一个名字，然后输入共享文件夹的网络路径，如下图所示。完成后单击 OK 按钮，你就可以在右侧看到文件夹了。

设置 Samba 共享文件夹名称及路径

9、下一步，打开组策略管理控制台，找到当前域的默认域策略脚本，然后打开并编辑该文件。

在 GPM 编辑器界面，打开 GPM 编辑器，找到用户配置 --> 首选项 --> Windows 设置，然而右键单击驱动器映射，选择新建 --> 映射驱动。

在 Windows 机器上映射 Samba 共享文件夹

10、通过单击右边的三个小点，在新窗口中查询并添加共享目录的网络位置，勾选重新连接复选框，为该目录添加一个标签，选择驱动盘符，然后单击 OK 按钮来保存和应用配置。

配置 Samba 共享目录的网络位置

11、最后，为了在本地机器上强制应用 GPO 更改而不重启系统，打开命令行提示符，然而执行下面的命令。

gpupdate /force

应用 GPO 更改

12、当你在本地机器上成功应用策略后，打开 Windows 资源管理器，你就可以看到并访问共享的网络文件夹了，能否正常访问共享目录取决于你在前一步的授权操作。

如果没有在命令行下强制应用组策略，你网络中的其它客户机需要重启或重新登录系统才可以看到共享目录。

Windows 机器上挂载的 Samba 网络磁盘

第四步：从 Linux 客户端访问 Samba 共享目录

13、已加入 Samba AD DC 中的 Linux 成员机上的系统用户也可以可以使用 Samba 帐号访问或在本地挂载共享目录。

首先，你得通过下面的命令来确保 Samba 客户端和工具已经安装完成。

$ sudo apt-get install smbclient cifs-utils

14、为了列出域环境中的共享目录，你可以通过下面的命令加入指定的域控服务器主机名来查询：

$ smbclient –L your_domain_controller –U%
或
$ smbclient –L \\adc1 –U%

在 Linux 机器上列出 Samba 共享目录

15、在命令行下使用域帐号以交互试方式连接到 Samba 共享目录：

$ sudo smbclient //adc/share_name -U domain_user

在命令行下，你可以列出共享目录内容，下载或上传文件到共享目录，或者执行其它操作。使用 ? 来查询所有可用的 smbclient 命令。

在 Linux 机器上连接 Samba 共享目录

16、在 Linux 机器上使用下面的命令来挂载 samba 共享目录。

$ sudo mount //adc/share_name /mnt -o username=domain_user

在 Linux 机器上挂载 samba 共享目录

根据实际情况，依次替换主机名、共享目录名、挂载点和域帐号。使用 mount 命令加上管道符和 grep 命令来过滤出 cifs 类型的文件系统。

通过上面的测试，我们可以看出，在 Samba4 AD DC 服务器上配置共享目录仅使用 Windows 访问控制列表（ ACL ），而不是 POSIX ACL 。

通过文件共享把 Samba 配置为域成员以使用其它网络共享功能。同时，在另一个域控制器上配置 Windbindd 服务 ——在你开始发起网络共享文件之前。

作者简介：

我是一个电脑迷，开源 Linux 系统和软件爱好者，有 4 年多的 Linux 桌面、服务器系统使用和 Base 编程经验。

译者简介：

春城初春/春水初生/春林初盛/春風十裏不如妳 rusking

via: http://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

作者：Matei Cezar 译者：rusking 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Bluemix 是由 IBM 实现的基于开放标准的云平台。它具有开放的架构，其允许组织能够在云上创建、开发和管理其应用程序。它基于 Cloud Foundry ，因此可以被视为平台即服务（PaaS）。使用 Bluemix，开发人员不必关心云端配置，可以专注于他们的应用程序。 云端配置将由 Bluemix 自动完成。

Bluemix 还提供了一个仪表板，通过它，开发人员可以创建，管理和查看服务和应用程序，同时还可以监控资源使用情况。

它支持以下编程语言：

• Java
• Python
• Ruby on Rails
• PHP
• Node.js

它还支持 OpenWhisk（FaaS），这也是一个 IBM 的产品，其允许开发人员调用任一功能而不需要任何资源管理。

图1 IBM Bluemix 概述

图2 IBM Bluemix 体系结构

图3 在 IBM Bluemix 中创建组织

IBM Bluemix 如何工作

Bluemix 构建在 IBM 的 SoftLayer IaaS（基础架构即服务）之上。它使用 Cloud Foundry 作为开源 PaaS 平台。一切起于通过 Cloud Foundry 来推送代码，它扮演着将代码和编写应用所使用的编程语言运行时环境整合起来的角色。IBM 服务、第三方服务或社区构建的服务可用于不同的功能。安全连接器可用于将本地系统连接到云。

图4 在 IBM Bluemix 中设置空间

图5 应用程序模板

图6 IBM Bluemix 支持的编程语言

在 Bluemix 中创建应用程序

在本文中，我们将使用 Liberty for Java 的入门包在 IBM Bluemix 中创建一个示例“Hello World”应用程序，只需几个简单的步骤。

1、 打开 https：//console.ng.bluemix.net/registration/

2、 注册 Bluemix 帐户

3、 点击邮件中的确认链接完成注册过程

4、 输入您的电子邮件 ID，然后点击 Continue 进行登录

5、 输入密码并点击 Log in

6、 进入 Set up -> Environment 设置特定区域中的资源共享

7、 创建空间方便管理访问控制和在 Bluemix 中回滚操作。 我们可以将空间映射到多个开发阶段，如 dev， test，uat，pre-prod 和 prod

图7 命名应用程序

图8 了解应用程序何时准备就绪

图9 IBM Bluemix Java 应用程序

8、 完成初始配置后，单击 I'm ready -> Good to Go ！

9、 成功登录后，此时检查 IBM Bluemix 仪表板，特别是 Cloud Foundry Apps（其中 2GB 可用）和 Virtual Server（其中 0 个实例可用）的部分

10、 点击 Create app，选择应用创建模板。在我们的例子中，我们将使用一个 Web 应用程序

11、 如何开始？单击 Liberty for Java ，然后查看其描述

12、 单击 Continue

13、 为新应用命名。对于本文，让我们使用 osfy-bluemix-tutorial 命名然后单击 Finish

14、 在 Bluemix 上创建资源和托管应用程序需要等待一些时间

15、 几分钟后，应用程式就会开始运作。注意应用程序的URL

16、 访问应用程序的URL http：//osfy-bluemix-tutorial.au-syd.mybluemix.net/, 不错，我们的第一个在 IBM Bluemix 上的 Java 应用程序成功运行

17、 为了检查源代码，请单击 Files 并在门户中导航到不同文件和文件夹

18、 Logs 部分提供包括从应用程序的创建时起的所有活动日志。

19、 Environment Variables 部分提供关于 VCAP\_Services 的所有环境变量以及用户定义的环境变量的详细信息

20、 要检查应用程序的资源消耗，需要到 Liberty for Java 那一部分。

21、 默认情况下，每个应用程序的 Overview 部分包含资源，应用程序的运行状况和活动日志的详细信息

22、 打开 Eclipse，转到帮助菜单，然后单击 Eclipse Marketplace

23、 查找 IBM Eclipse tools for Bluemix 并单击 Install

24、 确认所选的功能并将其安装在 Eclipse 中

25、 下载应用程序启动器代码。点击 File Menu，将它导入到 Eclipse 中，选择 Import Existing Projects -> Workspace, 然后开始修改代码

图10 Java 应用程序源文件

图11 Java 应用程序日志

图12 Java 应用程序 - Liberty for Java

为什么选择 IBM Bluemix？

以下是使用 IBM Bluemix 的一些令人信服的理由：

• 支持多种语言和平台

• 免费试用

  1. 简化的注册过程
  2. 不需要信用卡
  3. 30 天试用期 - 配额 2GB 的运行时，支持 20 个服务，500 个 route
  4. 无限制地访问标准支持
  5. 没有生产使用限制
• 仅为每个使用的运行时和服务付费
• 快速设置 - 从而加快上架时间
• 持续交付新功能
• 与本地资源的安全集成

• 用例

  1. Web 应用程序和移动后端
  2. API 和内部集成

• DevOps 服务可部署在云上的 SaaS ，并支持持续交付：

  1. Web IDE
  2. SCM
  3. 敏捷规划
  4. 交货管道服务

via: http://opensourceforu.com/2016/11/build-deploy-manage-custom-apps-ibm-bluemix/

作者：MITESH\_SONI 译者：Vic020 校对：Bestony

本文由 LCTT 组织编译，Linux中国 荣誉推出

桌面共享是指通过图形终端仿真器在计算机桌面上实现远程访问和远程协作的技术。桌面共享允许两个或多个连接到网络的计算机用户在不同位置对同一个文件进行操作。

在这篇文章中，我将向你展示如何在 Ubuntu 和 Linux Mint 中启用桌面共享，并展示一些重要的安全特性。

在 Ubuntu 和 Linux Mint 上启用桌面共享

１、在 Ubuntu Dash 或 Linux Mint 菜单中，像下面的截图这样搜索 desktop sharing，搜索到以后，打开它。

在 Ubuntu 中搜索 Desktop sharing

２、打开 Desktop sharing 以后，有三个关于桌面共享设置的选项：共享、安全以及通知设置。

在共享选项下面，选中选项“允许其他用户查看桌面”来启用桌面共享。另外，你还可以选中选项“允许其他用户控制你的桌面”，从而允许其他用户远程控制你的桌面。

桌面共享偏好

３、接下来，在“安全”部分，你可以通过勾选选项“你必须确认任何对该计算机的访问”来手动确认每个远程连接。

另外，另一个有用的安全特性是通过选项“需要用户输入密码”创建一个确定的共享密码。这样当用户每次想要访问你的桌面时需要知道并输入密码。

４、对于通知，你可以勾选“仅当有人连接上时”来监视远程连接，这样每次当有人远程连接到你的桌面时，可以在通知区域查看。

配置桌面共享设置

当所有的桌面共享选项都设置好以后，点击“关闭”。现在，你已经在你的 Ubuntu 或 Linux Mint 上成功启用了桌面共享。

测试 Ubuntu 的远程桌面共享

你可以通过使用一个远程连接应用来进行测试，从而确保桌面共享可用。在这个例子中，我将展示上面设置的一些选项是如何工作的。

５、我将使用 VNC（虚拟网络计算）协议通过 remmina 远程连接应用连接到我的 Ubuntu PC。

Remmina 桌面共享工具

６、在点击 Ubuntu PC 以后，将会出现下面这个配置连接设置的界面，

Remmina 桌面共享偏好

７、当执行好所有设置以后，点击连接。然后，给用户名提供 SSH 密码并点击 OK 。

输入 SSH 用户密码

点击确定以后，出现下面这个黑屏，这是因为在远程机器上，连接还没有确认。

连接确认前的黑屏

８、现在，在远程机器上，我需要如下一个屏幕截图显示的那样点击 Allow 来接受远程访问请求。

允许远程桌面共享

９、在接受请求以后，我就成功地连接到了远程 Ubuntu 机器的桌面。

远程 Ubuntu 桌面

这就是全部内容了，在这篇文章中，我们讲解了如何在 Ubuntu 和 Linux Mint 中启用桌面共享。你使用评论部分给我们写反馈。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，将来的 Linux 系统管理员和网络开发人员，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/enable-desktop-sharing-in-ubuntu-linux-mint/

作者：Aaron Kili 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

介绍

托管 Django Web 应用程序相当简单，虽然它比标准的 PHP 应用程序更复杂一些。 让 Web 服务器对接 Django 的方法有很多。 Gunicorn 就是其中最简单的一个。

Gunicorn（Green Unicorn 的缩写）在你的 Web 服务器 Django 之间作为中间服务器使用，在这里，Web 服务器就是 Nginx。 Gunicorn 服务于应用程序，而 Nginx 处理静态内容。

Gunicorn

安装

使用 Pip 安装 Gunicorn 是超级简单的。 如果你已经使用 virtualenv 搭建好了你的 Django 项目，那么你就有了 Pip，并且应该熟悉 Pip 的工作方式。 所以，在你的 virtualenv 中安装 Gunicorn。

$ pip install gunicorn

配置

Gunicorn 最有吸引力的一个地方就是它的配置非常简单。处理配置最好的方法就是在 Django 项目的根目录下创建一个名叫 Gunicorn 的文件夹。然后在该文件夹内，创建一个配置文件。

在本篇教程中，配置文件名称是 gunicorn-conf.py。在该文件中，创建类似于下面的配置：

import multiprocessing

bind = 'unix:///tmp/gunicorn1.sock'
workers = multiprocessing.cpu_count() * 2 + 1
reload = True
daemon = True

在上述配置的情况下，Gunicorn 会在 /tmp/ 目录下创建一个名为 gunicorn1.sock 的 Unix 套接字。 还会启动一些工作进程，进程数量相当于 CPU 内核数量的 2 倍。 它还会自动重新加载并作为守护进程运行。

运行

Gunicorn 的运行命令有点长，指定了一些附加的配置项。 最重要的部分是将 Gunicorn 指向你项目的 .wsgi 文件。

gunicorn -c gunicorn/gunicorn-conf.py -D --error-logfile gunicorn/error.log yourproject.wsgi

上面的命令应该从项目的根目录运行。 -c 选项告诉 Gunicorn 使用你创建的配置文件。 -D 再次指定 gunicorn 为守护进程。 最后一部分指定 Gunicorn 的错误日志文件在你创建 Gunicorn 文件夹中的位置。 命令结束部分就是为 Gunicorn 指定 .wsgi 文件的位置。

Nginx

现在 Gunicorn 配置好了并且已经开始运行了，你可以设置 Nginx 连接它，为你的静态文件提供服务。 本指南假定你已经配置好了 Nginx，而且你通过它托管的站点使用了单独的 server 块。 它还将包括一些 SSL 信息。

如果你想知道如何让你的网站获得免费的 SSL 证书，请查看我们的 Let'sEncrypt 指南。

# 连接到 Gunicorn
upstream yourproject-gunicorn {
    server unix:/tmp/gunicorn1.sock fail_timeout=0;
}

# 将未加密的流量重定向到加密的网站
server {
    listen       80;
    server_name  yourwebsite.com;
    return       301 https://yourwebsite.com$request_uri;
}

# 主服务块
server {
    # 设置监听的端口，指定监听的域名
    listen 443 default ssl;
    client_max_body_size 4G;
    server_name yourwebsite.com;

    # 指定日志位置
    access_log /var/log/nginx/yourwebsite.access_log main;
    error_log /var/log/nginx/yourwebsite.error_log info;

    # 告诉 nginx 你的 ssl 证书
    ssl on;
    ssl_certificate /etc/letsencrypt/live/yourwebsite.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourwebsite.com/privkey.pem;

    # 设置根目录
    root /var/www/yourvirtualenv/yourproject;

    # 为 Nginx 指定静态文件路径
    location /static/ {
        # Autoindex the files to make them browsable if you want
        autoindex on;
        # The location of your files
        alias /var/www/yourvirtualenv/yourproject/static/;
        # Set up caching for your static files
        expires 1M;
        access_log off;
        add_header Cache-Control "public";
        proxy_ignore_headers "Set-Cookie";
    }

    # 为 Nginx 指定你上传文件的路径
    location /media/ {
        Autoindex if you want
        autoindex on;
        # The location of your uploaded files
        alias /var/www/yourvirtualenv/yourproject/media/;
        # Set up aching for your uploaded files
        expires 1M;
        access_log off;
        add_header Cache-Control "public";
        proxy_ignore_headers "Set-Cookie";
    }

    location / {
        # Try your static files first, then redirect to Gunicorn
        try_files $uri @proxy_to_app;
    }

    # 将请求传递给 Gunicorn
    location @proxy_to_app {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        proxy_pass   http://njc-gunicorn;
    }

    # 缓存 HTML、XML 和 JSON
    location ~* \.(html?|xml|json)$ {
        expires 1h;
    }

    # 缓存所有其他的静态资源
    location ~* \.(jpg|jpeg|png|gif|ico|css|js|ttf|woff2)$ {
        expires 1M;
        access_log off;
        add_header Cache-Control "public";
        proxy_ignore_headers "Set-Cookie";
    }
}

配置文件有点长，但是还可以更长一些。其中重点是指向 Gunicorn 的 upstream 块以及将流量传递给 Gunicorn 的 location 块。大多数其他的配置项都是可选，但是你应该按照一定的形式来配置。配置中的注释应该可以帮助你了解具体细节。

保存文件之后，你可以重启 Nginx，让修改的配置生效。

# systemctl restart nginx

一旦 Nginx 在线生效，你的站点就可以通过域名访问了。

结语

如果你想深入研究，Nginx 可以做很多事情。但是，上面提供的配置是一个很好的开始，并且你可以用于实践中。 如果你见惯了 Apache 和臃肿的 PHP 应用程序，像这样的服务器配置的速度应该是一个惊喜。

via: https://linuxconfig.org/hosting-django-with-nginx-and-gunicorn-on-linux

作者：Nick Congleton 译者：Flowsnow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

LCTT 译注： 终端节点 （ Endpoint ） ，详情请见: http://docs.amazonaws.cn/general/latest/gr/rande.html

最新发布的 GO 的 SDK v1.6.0 版本，加入了获取区域与终端节点信息的功能。它可以很方便地列出区域、服务和终端节点的相关信息。可以通过 github.com/aws/aws-sdk-go/aws/endpoints 包使用这些功能。

endpoints 包提供了一个易用的接口，可以获取到一个服务的终端节点的 url 列表和区域列表信息。并且我们将相关信息根据 AWS 服务区域进行了分组，如 AWS 标准、AWS 中国和 AWS GovCloud（美国）。

解析终端节点

设置 SDK 的默认配置时， SDK 会自动地使用 endpoints.DefaultResolver 函数。你也可以自己调用包中的EndpointFor 方法来解析终端节点。

// 解析在us-west-2区域的S3服务的终端节点
resolver := endpoints.DefaultResolver()
endpoint, err := resolver.EndpointFor(endpoints.S3ServiceID, endpoints.UsWest2RegionID)
if err != nil {
        fmt.Println("failed to resolve endpoint", err)
        return
}

fmt.Println("Resolved URL:", endpoint.URL)

如果你需要自定义终端节点的解析逻辑，你可以实现 endpoints.Resolver 接口，并传值给aws.Config.EndpointResolver。当你打算编写自定义的终端节点逻辑，让 SDK 可以用来解析服务的终端节点时候，这个功能就会很有用。

以下示例，创建了一个配置好的 Session，然后 Amazon S3 服务的客户端就可以使用这个自定义的终端节点。

s3CustResolverFn := func(service, region string, optFns ...func(*endpoints.Options)) (endpoints.ResolvedEndpoint, error) {
        if service == "s3" {
               return endpoints.ResolvedEndpoint{
                       URL:           "s3.custom.endpoint.com",
                       SigningRegion: "custom-signing-region",
               }, nil
        }

        return defaultResolver.EndpointFor(service, region, optFns...)
}
sess := session.Must(session.NewSessionWithOptions(session.Options{
        Config: aws.Config{
               Region:           aws.String("us-west-2"),
               EndpointResolver: endpoints.ResolverFunc(s3CustResolverFn),
        },
}))

分区

endpoints.DefaultResolver 函数的返回值可以被 endpoints.EnumPartitions接口使用。这样就可以获取 SDK 使用的分区片段，也可以列出每个分区的分区信息。

// 迭代所有分区表打印每个分区的ID
resolver := endpoints.DefaultResolver()
partitions := resolver.(endpoints.EnumPartitions).Partitions()

for _, p := range partitions {
        fmt.Println("Partition:", p.ID())
}

除了分区表之外，endpoints 包也提供了每个分区组的 getter 函数。这些工具函数可以方便列出指定分区，而不用执行默认解析器列出所有的分区。

partition := endpoints.AwsPartition()
region := partition.Regions()[endpoints.UsWest2RegionID]

fmt.Println("Services in region:", region.ID())
for id, _ := range region.Services() {
        fmt.Println(id)
}

当你获取区域和服务值后，可以调用 ResolveEndpoint。这样解析端点时，就可以提供分区的过滤视图。

获取更多 AWS SDK for GO 信息, 请关注其开源仓库。若你有更好的看法，请留言评论。

via: https://aws.amazon.com/cn/blogs/developer/using-the-aws-sdk-for-gos-regions-and-endpoints-metadata

作者：Jason Del Ponte 译者：Vic020 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在早前的一篇文章中，我们深入讨论了 sudo 命令的相关内容。同时，在该文章的末尾有提到相关的命令 su 的部分内容。本文，我们将详细讨论关于 su 命令与 sudo 命令之间的区别。

在开始之前有必要说明一下，文中所涉及到的示例教程都已经在 Ubuntu 14.04 LTS 上测试通过。

Linux su 命令

su 命令的主要作用是让你可以在已登录的会话中切换到另外一个用户。换句话说，这个工具可以让你在不登出当前用户的情况下登录为另外一个用户。

su 命令经常被用于切换到超级用户或 root 用户（因为在命令行下工作，经常需要 root 权限），但是 - 正如前面所提到的 - su 命令也可以用于切换到任意非 root 用户。

如何使用 su 命令切换到 root 用户，如下：

如上，su 命令要求输入的密码是 root 用户的密码。所以，一般 su 命令需要输入目标用户的密码。在输入正确的密码之后，su 命令会在终端的当前会话中打开一个子会话。

su -

还有一种方法可以切换到 root 用户：运行 su - 命令，如下：

那么，su 命令与 su - 命令之间有什么区别呢？前者在切换到 root 用户之后仍然保持旧的（或者说原始用户的）环境，而后者则是创建一个新的环境（由 root 用户 ~/.bashrc 文件所设置的环境），相当于使用 root 用户正常登录（从登录屏幕登录）。

su 命令手册页很清楚地说明了这一点：

可选参数 - 可提供的环境为用户在直接登录时的环境。

因此，你会觉得使用 su - 登录更有意义。但是， su 命令也是有用的，那么大家可能会想知道它在什么时候用到。以下内容摘自 ArchLinux wiki 网站 - 关于 su 命令的好处和坏处：

• 有的时候，对于系统管理员（root）来讲，使用其他普通用户的 Shell 账户而不是自己的 root Shell 账户更会好一些。尤其是在处理用户问题时，最有效的方法就是是：登录目标用户以便重现以及调试问题。
• 然而，在多数情况下，当从普通用户切换到 root 用户进行操作时，如果还使用普通用户的环境变量的话，那是不可取甚至是危险的操作。因为是在无意间切换使用普通用户的环境，所以当使用 root 用户进行程序安装或系统更改时，会产生与正常使用 root 用户进行操作时不相符的结果。例如，以普通用户安装程序会给普通用户意外损坏系统或获取对某些数据的未授权访问的能力。

注意：如果你想在 su - 命令的 - 后面传递更多的参数，那么你必须使用 su -l 而不是 su -。以下是 - 和 -l 命令行选项的说明：

-, -l, --login

提供相当于用户在直接登录时所期望的环境。

当使用 - 时，必须放在 su 命令的最后一个选项。其他选项（-l 和 --login）无此限制。

su -c

还有一个值得一提的 su 命令行选项为：-c。该选项允许你提供在切换到目标用户之后要运行的命令。

su 命令手册页是这样说明：

-c, --command COMMAND

使用 -c 选项指定由 Shell 调用的命令。

被执行的命令无法控制终端。所以，此选项不能用于执行需要控制 TTY 的交互式程序。

参考示例：

su [target-user] -c [command-to-run]

示例中，command-to-run 将会被这样执行：

[shell] -c [command-to-run]

示例中的 shell 类型将会被目标用户在 /etc/passwd 文件中定义的登录 shell 类型所替代。

sudo vs. su

现在，我们已经讨论了关于 su 命令的基础知识，是时候来探讨一下 sudo 和 su 命令之间的区别了。

关于密码

两个命令的最大区别是：sudo 命令需要输入当前用户的密码，su 命令需要输入 root 用户的密码。

很明显，就安全而言，sudo 命令更好。例如，考虑到需要 root 访问权限的多用户使用的计算机。在这种情况下，使用 su 意味着需要与其他用户共享 root 用户密码，这显然不是一种好习惯。

此外，如果要撤销特定用户的超级用户/root 用户的访问权限，唯一的办法就是更改 root 密码，然后再告知所有其他用户新的 root 密码。

而使用 sudo 命令就不一样了，你可以很好的处理以上的两种情况。鉴于 sudo 命令要求输入的是其他用户自己的密码，所以，不需要共享 root 密码。同时，想要阻止特定用户访问 root 权限，只需要调整 sudoers 文件中的相应配置即可。

默认行为

两个命令之间的另外一个区别是其默认行为。sudo 命令只允许使用提升的权限运行单个命令，而 su 命令会启动一个新的 shell，同时允许使用 root 权限运行尽可能多的命令，直到明确退出登录。

因此，su 命令的默认行为是有风险的，因为用户很有可能会忘记他们正在以 root 用户身份进行工作，于是，无意中做出了一些不可恢复的更改（例如：对错误的目录运行 rm -rf 命令！）。关于为什么不鼓励以 root 用户身份进行工作的详细内容，请参考这里。

日志记录

尽管 sudo 命令是以目标用户（默认情况下是 root 用户）的身份执行命令，但是它们会使用 sudoer 所配置的用户名来记录是谁执行命令。而 su 命令是无法直接跟踪记录用户切换到 root 用户之后执行了什么操作。

灵活性

sudo 命令比 su 命令灵活很多，因为你甚至可以限制 sudo 用户可以访问哪些命令。换句话说，用户通过 sudo 命令只能访问他们工作需要的命令。而 su 命令让用户有权限做任何事情。

sudo su

大概是因为使用 su 命令或直接以 root 用户身份登录有风险，所以，一些 Linux 发行版（如 Ubuntu）默认禁用 root 用户帐户。鼓励用户在需要 root 权限时使用 sudo 命令。

然而，您还是可以成功执行 su 命令，而不用输入 root 用户的密码。运行以下命令：

sudo su

由于你使用 sudo 运行命令，你只需要输入当前用户的密码。所以，一旦完成操作，su 命令将会以 root 用户身份运行，这意味着它不会再要求输入任何密码。

PS：如果你想在系统中启用 root 用户帐户（强烈反对，因为你可以使用 sudo 命令或 sudo su 命令），你必须手动设置 root 用户密码，可以使用以下命令：

sudo passwd root

结论

当你需要可用的工具来提升（或一组完全不同的）权限来执行任务时，这篇文章以及之前的教程（其中侧重于 sudo 命令）应该能给你一个比较好的建议。 如果您也想分享关于 su 或 sudo 的相关内容或者经验，欢迎您在下方进行评论。

via: https://www.howtoforge.com/tutorial/sudo-vs-su/

作者：Himanshu Arora 译者：zhb127 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出