sudo 命令允许特权用户以 root 用户身份运行全部或部分命令，但是理解其能做什么和不能做什么很有帮助。

在你想要使用超级权限临时运行一条命令时，sudo 命令非常方便，但是当它不能如你期望的工作时，你也会遇到一些麻烦。比如说你想在某些日志文件结尾添加一些重要的信息，你可能会尝试这样做：

$ echo "Important note" >> /var/log/somelog
-bash: /var/log/somelog: Permission denied

好吧，看起来你似乎需要一些额外的特权。一般来说，你不能使用你的用户账号向系统日志中写入东西。我们使用 sudo 再尝试一次吧。

$ sudo !!
sudo echo "Important note" >> /var/log/somelog
-bash: /var/log/somelog: Permission denied

嗯，它还是没有啥反应。我们来试点不同的吧。

$ sudo 'echo "Important note" >> /var/log/somelog'
sudo: echo "Important note" >> /var/log/somelog: command not found

也可以查看：在 Linux 下排查故障的宝贵提示和技巧。

接下来该干什么？

上面在执行完第一条命令后的回应显示，我们缺少向日志文件写入时必须的特权。第二次，我们使用 root 权限运行了第一次的命令，但是返回了一个“没有权限”的错误。第三次，我们把整个命令放在一个引号里面再运行了一遍，返回了一个“没有发现命令”的错误。所以，到底错在哪里了呢？

• 第一条命令：没有 root 特权，你无法向这个日志中写入东西。
• 第二条命令：你的超级权限没有延伸到重定向。
• 第三条命令：sudo 不理解你用引号括起来的整个 “命令”。

而且如果你的用户还未添加到 sudo 用户组的时候，如果尝试使用 sudo，你可能已经看到过像下面的这么一条错误了：

nemo is not in the sudoers file. This incident will be reported.

你可以做什么？

一个相当简单的选择就是使用 sudo 命令暂时成为 root。鉴于你已经有了 sudo 特权，你可以使用下面的命令执行此操作：

$ sudo su
[sudo] password for nemo:
#

注意这个改变的提示符表明了你的新身份。然后你就可以以 root 运行之前的命令了：

# echo "Important note" >> /var/log/somelog

接着你可以输入 ^d 返回你之前的身份。当然了，一些 sudo 的配置可能会阻止你使用 sudo 命令成为 root。

另一个切换用户为 root 的方法是仅用 su 命令，但是这需要你知道 root 密码。许多人被赋予了访问 sudo 的权限，而并不知道 root 密码，所以这并不是总是可行。

（采用 su 直接）切换到 root 之后，你就可以以 root 的身份运行任何你想执行的命令了。这种方式的问题是：1) 每个想要使用 root 特权的人都需要事先知道 root 的密码（这样不很安全）；2) 如果在运行需要 root 权限的特定命令后未能退出特权状态，你的系统可能会受到一些重大错误的波及。sudo 命令旨在允许您仅在真正需要时使用 root 权限，并控制每个 sudo 用户应具有的 root 权限。它也可以使你在使用完 root 特权之后轻松地回到普通用户的状态。

另外请注意，整个讨论的前提是你可以正常地访问 sudo，并且你的访问权限没有受限。详细的内容后面会介绍到。

还有一个选择就是使用一个不同的命令。如果通过编辑文件从而在其后添加内容是一种选择的话，你也许可以使用 sudo vi /var/log/somelog，虽然编辑一个活跃的日志文件通常不是一个好主意，因为系统可能会频繁的向这个文件中进行写入操作。

最后一个但是有点复杂的选择是，使用下列命令之一可以解决我们之前看到的问题，但是它们涉及到了很多复杂的语法。第一个命令允许你在得到 “没有权限” 的拒绝之后可以使用 !! 重复你的命令：

$ sudo echo "Important note" >> /var/log/somelog
-bash: /var/log/somelog: Permission denied
$ !!:gs/>/|sudo tee -a /    <=====
$ tail -1 /var/log/somelog
Important note

第二种是通过 sudo 命令，把你想要添加的信息传递给 tee。注意，-a 指定了你要附加文本到目标文件：

$ echo "Important note" | sudo tee -a /var/log/somelog
$ tail -1 /var/log/somelog
Important note

sudo 有多可控？

回答这个问题最快速的回答就是，它取决于管理它的人。大多数 Linux 的默认设置都非常简单。如果一个用户被安排到了一个特别的组中，例如 wheel 或者 admin 组，那这个用户无需知道 root 的密码就可以拥有运行任何命令的能力。这就是大多数 Linux 系统中的默认设置。一旦在 /etc/group 中添加了一个用户到了特权组中，这个用户就可以以 root 的权力运行任何命令。另一方面，可以配置 sudo，以便一些用户只能够以 root 身份运行单一指令或者一组命令中的任何一个。

如果把像下面展示的这些行添加到了 /etc/sudoers 文件中，例如 “nemo” 这个用户可以以 root 身份运行 whoami 命令。在现实中，这可能不会造成任何影响，它非常适合作为一个例子。

# User alias specification
nemo ALL=(root) NOPASSWD: WHOAMI

# Cmnd alias specification
Cmnd_Alias WHOAMI = /usr/bin/whoami

注意，我们添加了一个命令别名（Cmnd_Alias），它指定了一个可以运行的命令的全路径，以及一个用户别名，允许这个用户无需密码就可以使用 sudo 执行的单个命令。

当 nemo 运行 sudo whoami 命令的时候，他将会看到这个：

$ sudo whoami
root

注意这个，因为 nemo 使用 sudo 执行了这条命令，whoami 会显示该命令运行时的用户是 root。

至于其他的命令，nemo 将会看到像这样的一些内容：

$ sudo date
[sudo] password for nemo:
Sorry, user nemo is not allowed to execute '/bin/date' as root on butterfly.

sudo 的默认设置

在默认路径中，我们会利用像下面展示的 /etc/sudoers 文件中的几行：

$ sudo egrep "admin|sudo" /etc/sudoers
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL        <=====
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL     <=====

在这几行中，%admin 和 %sudo 都说明了任何添加到这些组中的人都可以使用 sudo 命令以 root 的身份运行任何命令。

下面列出的是 /etc/group 中的一行，它意味着每一个在该组中列出的成员，都拥有了 sudo 特权，而无需在 /etc/sudoers 中进行任何修改。

sudo:x:27:shs,nemo

总结

sudo 命令意味着你可以根据需要轻松地部署超级用户的访问权限，而且只有在需要的时候才能赋予用户非常有限的特权访问权限。你可能会遇到一些与简单的 sudo command 不同的问题，不过在 sudo 的回应中应该会显示你遇到了什么问题。

via: https://www.networkworld.com/article/3322504/linux/selectively-deploying-your-superpowers-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：dianbanjiu 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

学习怎么在保护 root 密码的安全性的同时，为可信用户赋予所管理的网络功能和特定服务的权限。

我最近写了一个简短的 Bash 程序来将 MP3 文件从一台网络主机的 USB 盘中拷贝到另一台网络主机上去。拷贝出来的文件存放在一台志愿者组织所属服务器的特定目录下，在那里，这些文件可以被下载和播放。

我的程序还会做些其他事情，比如为了自动在网页上根据日期排序，在拷贝文件之前会先对这些文件重命名。在验证拷贝完成后，还会删掉 USB 盘中的所有文件。这个小程序还有一些其他选项，比如 -h 会显示帮助， -t 进入测试模式等等。

我的程序需要以 root 运行才能发挥作用。然而，这个组织中之后很少的人对管理音频和计算机系统有兴趣的，这使得我不得不找那些半吊子的人来，并培训他们登录到用于传输的计算机，运行这个小程序。

倒不是说我不能亲自运行这个程序，但由于外出和疾病等等各种原因， 我不是时常在场的。 即使我在场，作为一名 “懒惰的系统管理员”， 我也希望别人能替我把事情给做了。 因此我写了一些脚本来自动完成这些任务并通过 sudo 来指定某些人来运行这些脚本。 很多 Linux 命令都需要用户以 root 身份来运行。 sudo 能够保护系统免遭一时糊涂造成的意外损坏以及恶意用户的故意破坏。

尽可能的使用 sudo

sudo 是一个很方便的工具，它让我一个具有 root 权限的管理员可以分配所有或者部分管理性的任务给其他用户， 而且还无需告诉他们 root 密码， 从而保证主机的高安全性。

假设，我给了普通用户 ruser 访问我 Bash 程序 myprog 的权限， 而这个程序的部分功能需要 root 权限。 那么该用户可以以 ruser 的身份登录，然后通过以下命令运行 myprog。

sudo myprog

sudo 程序会检查 /etc/sudoers 文件，并确认 ruser 是否被许可运行 myprog。如被许可，sudo 会要求该用户输入其密码——而非 root 密码。在 ruser 输入他的密码之后，该程序就运行了。此外，sudo 也记录 myprog 该程序运行的日期和时间、完整的命令，以及谁在运行它。这个数据会记录在 /var/log/security 中。

我发现在培训时记录下每个用 sudo 执行的命令会很有帮助。我可以看到谁执行了哪些命令，他们是否输对了。

我委派了权限给自己和另一个人来运行那一个程序；然而，sudo 可以做更多的事情。 它允许系统管理员委派所管理的网络功能或特定的服务给某个受信的人或某组人。这可以让你在保护了 root 密码的安全性的同时，也赋予了那些功能。

配置 sudoers 文件

作为一名系统管理员，我使用 /etc/sudoers 文件来设置某些用户或某些用户组可以访问某个命令，或某组命令，或所有命令。 这种灵活性是使用 sudo 进行委派时能兼顾功能与简易性的关键。

我一开始对 sudoers 文件感到很困惑，因此下面我会拷贝并分解我所使用主机上的完整 sudoers 文件。 希望在分析的过程中不会让你感到困惑。 我意外地发现， 基于 Red Hat 的发行版中默认的配置文件都会很多注释以及例子来指导你如何做出修改，这使得修改配置文件变得简单了很多，也不需要在互联网上搜索那么多东西了。

不要直接用编辑器来修改 sudoers 文件，而应该用 visudo 命令，因为该命令会在你保存并退出编辑器后就立即生效这些变更。 visudo 也可以使用除了 Vi 之外的其他编辑器。

让我们首先来分析一下文件中的各种别名。

主机别名

主机别名这一节用于创建主机分组，授予该组主机可以访问哪些命令或命令别名。 它的基本思想是，该文件由组织中的所有主机共同维护，然后拷贝到每台主机中的 /etc 中。 其中有些主机， 例如各种服务器， 可以配置成一个组来赋予用户访问特定命令的权限， 比如可以启停类似 HTTPD、DNS 以及网络服务；可以挂载文件系统等等。

在设置主机别名时也可以用 IP 地址替代主机名。

## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using 
## wildcards for entire domains) or IP addresses instead.
# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2

用户别名

用户别名允许 root 将用户整理成别名组中，并按组来分配特定的 root 权限。在这部分内容中我加了一行 User_Alias AUDIO = dboth, ruser，定义了一个别名 AUDIO 用来指代了两个用户。

正如 sudoers 文件中所阐明的，也可以直接使用 /etc/groups 中定义的组而不用自己设置别名。 如果你定义好的组（假设组名为 audio）已经能满足要求了， 那么在后面分配命令时只需要在组名前加上 % 号，像这样: %audio。

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
User_Alias AUDIO = dboth, ruser

命令别名

再后面是命令别名的部分。这些别名表示的是一系列相关的命令， 比如网络相关命令，或者 RPM 包管理命令。 这些别名允许系统管理员方便地为一组命令分配权限。

该部分内容已经设置好了许多别名，这使得分配权限给某类命令变得方便很多。

## Command Aliases
## These are groups of related commands...

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp 

## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe

环境默认值

下面部分内容设置默认的环境变量。这部分最值得关注的是 !visiblepw 这一行， 它表示当用户环境设置成显示密码时禁止 sudo 的运行。 这个安全措施不应该被修改掉。

# Defaults specification

#
# Refuse to run if unable to disable echo on the tty.
#
Defaults   !visiblepw

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"


Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin

命令部分

命令部分是 sudoers 文件的主体。不使用别名并不会影响你完成要实现的效果，别名只是让整个配置工作大幅简化而已。

这部分使用之前定义的别名来告诉 sudo 哪些人可以在哪些机器上执行哪些操作。一旦你理解了这部分内容的语法，你会发现这些例子都非常的直观。 下面我们来看看它的语法。

ruser           ALL=(ALL) ALL 

意即 ruser 可以在任意主机上以任意用户身份运行任意命令

这是一条为用户 ruser 做出的配置。行中第一个 ALL 表示该条规则在所有主机上生效。 第二个 ALL 允许 ruser 以任意其他用户的身份运行命令。 默认情况下， 命令以 root 用户的身份运行， 但 ruser 可以在 sudo 命令行指定程序以其他用户的身份运行。 最后这个 ALL 表示 ruser 可以运行所有命令而不受限制。 这让 ruser 实际上就变成了 root。

注意到下面还有一条针对 root 的配置。这允许 root 能通过 sudo 在任何主机上运行任何命令。

root    ALL=(ALL) ALL 

意即 root 可以在任意主机上以任意用户身份运行任意命令

为了实验一下效果，我注释掉了这行， 然后以 root 的身份试着直接运行 chown。 出乎意料的是这样是能成功的。 然后我试了下 sudo chown，结果失败了，提示信息 “Root is not in the sudoers file。 This incident will be reported”。 也就是说 root 可以直接运行任何命令， 但当加上 sudo 时则不行。 这会阻止 root 像其他用户一样使用 sudo 命令来运行其他命令， 但是 root 有太多种方法可以绕过这个约束了。

下面这行是我新增来控制访问 myprog 的。它指定了只有上面定义的 AUDIO 组中的用户才能在 guest1 这台主机上使用 myprog 这个命令。

AUDIO   guest1=/usr/local/bin/myprog

允许 AUDIO 组成员在 guest1 主机上访问 myprog

注意，上面这一行只指定了允许访问的主机名和程序，而没有说用户可以以其他用户的身份来运行该程序。

省略密码

你也可以通过 NOPASSWORD 来让 AUDIO 组中的用户无需密码就能运行 myprog。像这样：

AUDIO   guest1=NOPASSWORD : /usr/local/bin/myprog

允许 AUDIO 组成员在 guest1 主机上不用输入密码即可访问 myprog

我并没有这样做，因为我觉得使用 sudo 的用户必须要停下来想清楚他们正在做的事情，这对他们有好处。 我这里只是举个例子。

wheel

sudoers 文件中命令部分的 wheel 说明（如下所示）允许所有在 wheel 组中的用户在任何机器上运行任何命令。wheel 组在 /etc/group 文件中定义， 用户必须加入该组后才能工作。 组名前面的 % 符号表示 sudo 应该去 /etc/group 文件中查找该组。

%wheel          ALL = (ALL) ALL

运行所有定义在 /etc/group 文件中的 “wheel” 组成员可以在任意主机上运行全部命令

这种方法很好的实现了为多个用户赋予完全的 root 权限而不用提供 root 密码。只需要把该用户加入 wheel 组中就能给他们提供完整的 root 的能力。 它也提供了一种通过 sudo 创建的日志来监控他们行为的途径。 有些 Linux 发行版， 比如 Ubuntu， 会自动将用户的 ID 加入 /etc/group 中的 wheel 组中， 这使得他们能够用 sudo 命令运行所有的特权命令。

结语

我这里只是小试了一把 sudo — 我只是给一到两个用户以 root 权限运行单个命令的权限。完成这些只添加了两行配置（不考虑注释）。 将某项任务的权限委派给其他非 root 用户非常简单，而且可以节省你大量的时间。 同时它还会产生日志来帮你发现问题。

sudoers 文件还有许多其他的配置和能力。查看 sudo 和 sudoers 的 man 手册可以深入了解详细信息。

via: https://opensource.com/article/17/12/using-sudo-delegate

作者：David Both 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在早前的一篇文章中，我们深入讨论了 sudo 命令的相关内容。同时，在该文章的末尾有提到相关的命令 su 的部分内容。本文，我们将详细讨论关于 su 命令与 sudo 命令之间的区别。

在开始之前有必要说明一下，文中所涉及到的示例教程都已经在 Ubuntu 14.04 LTS 上测试通过。

Linux su 命令

su 命令的主要作用是让你可以在已登录的会话中切换到另外一个用户。换句话说，这个工具可以让你在不登出当前用户的情况下登录为另外一个用户。

su 命令经常被用于切换到超级用户或 root 用户（因为在命令行下工作，经常需要 root 权限），但是 - 正如前面所提到的 - su 命令也可以用于切换到任意非 root 用户。

如何使用 su 命令切换到 root 用户，如下：

如上，su 命令要求输入的密码是 root 用户的密码。所以，一般 su 命令需要输入目标用户的密码。在输入正确的密码之后，su 命令会在终端的当前会话中打开一个子会话。

su -

还有一种方法可以切换到 root 用户：运行 su - 命令，如下：

那么，su 命令与 su - 命令之间有什么区别呢？前者在切换到 root 用户之后仍然保持旧的（或者说原始用户的）环境，而后者则是创建一个新的环境（由 root 用户 ~/.bashrc 文件所设置的环境），相当于使用 root 用户正常登录（从登录屏幕登录）。

su 命令手册页很清楚地说明了这一点：

可选参数 - 可提供的环境为用户在直接登录时的环境。

因此，你会觉得使用 su - 登录更有意义。但是， su 命令也是有用的，那么大家可能会想知道它在什么时候用到。以下内容摘自 ArchLinux wiki 网站 - 关于 su 命令的好处和坏处：

• 有的时候，对于系统管理员（root）来讲，使用其他普通用户的 Shell 账户而不是自己的 root Shell 账户更会好一些。尤其是在处理用户问题时，最有效的方法就是是：登录目标用户以便重现以及调试问题。
• 然而，在多数情况下，当从普通用户切换到 root 用户进行操作时，如果还使用普通用户的环境变量的话，那是不可取甚至是危险的操作。因为是在无意间切换使用普通用户的环境，所以当使用 root 用户进行程序安装或系统更改时，会产生与正常使用 root 用户进行操作时不相符的结果。例如，以普通用户安装程序会给普通用户意外损坏系统或获取对某些数据的未授权访问的能力。

注意：如果你想在 su - 命令的 - 后面传递更多的参数，那么你必须使用 su -l 而不是 su -。以下是 - 和 -l 命令行选项的说明：

-, -l, --login

提供相当于用户在直接登录时所期望的环境。

当使用 - 时，必须放在 su 命令的最后一个选项。其他选项（-l 和 --login）无此限制。

su -c

还有一个值得一提的 su 命令行选项为：-c。该选项允许你提供在切换到目标用户之后要运行的命令。

su 命令手册页是这样说明：

-c, --command COMMAND

使用 -c 选项指定由 Shell 调用的命令。

被执行的命令无法控制终端。所以，此选项不能用于执行需要控制 TTY 的交互式程序。

参考示例：

su [target-user] -c [command-to-run]

示例中，command-to-run 将会被这样执行：

[shell] -c [command-to-run]

示例中的 shell 类型将会被目标用户在 /etc/passwd 文件中定义的登录 shell 类型所替代。

sudo vs. su

现在，我们已经讨论了关于 su 命令的基础知识，是时候来探讨一下 sudo 和 su 命令之间的区别了。

关于密码

两个命令的最大区别是：sudo 命令需要输入当前用户的密码，su 命令需要输入 root 用户的密码。

很明显，就安全而言，sudo 命令更好。例如，考虑到需要 root 访问权限的多用户使用的计算机。在这种情况下，使用 su 意味着需要与其他用户共享 root 用户密码，这显然不是一种好习惯。

此外，如果要撤销特定用户的超级用户/root 用户的访问权限，唯一的办法就是更改 root 密码，然后再告知所有其他用户新的 root 密码。

而使用 sudo 命令就不一样了，你可以很好的处理以上的两种情况。鉴于 sudo 命令要求输入的是其他用户自己的密码，所以，不需要共享 root 密码。同时，想要阻止特定用户访问 root 权限，只需要调整 sudoers 文件中的相应配置即可。

默认行为

两个命令之间的另外一个区别是其默认行为。sudo 命令只允许使用提升的权限运行单个命令，而 su 命令会启动一个新的 shell，同时允许使用 root 权限运行尽可能多的命令，直到明确退出登录。

因此，su 命令的默认行为是有风险的，因为用户很有可能会忘记他们正在以 root 用户身份进行工作，于是，无意中做出了一些不可恢复的更改（例如：对错误的目录运行 rm -rf 命令！）。关于为什么不鼓励以 root 用户身份进行工作的详细内容，请参考这里。

日志记录

尽管 sudo 命令是以目标用户（默认情况下是 root 用户）的身份执行命令，但是它们会使用 sudoer 所配置的用户名来记录是谁执行命令。而 su 命令是无法直接跟踪记录用户切换到 root 用户之后执行了什么操作。

灵活性

sudo 命令比 su 命令灵活很多，因为你甚至可以限制 sudo 用户可以访问哪些命令。换句话说，用户通过 sudo 命令只能访问他们工作需要的命令。而 su 命令让用户有权限做任何事情。

sudo su

大概是因为使用 su 命令或直接以 root 用户身份登录有风险，所以，一些 Linux 发行版（如 Ubuntu）默认禁用 root 用户帐户。鼓励用户在需要 root 权限时使用 sudo 命令。

然而，您还是可以成功执行 su 命令，而不用输入 root 用户的密码。运行以下命令：

sudo su

由于你使用 sudo 运行命令，你只需要输入当前用户的密码。所以，一旦完成操作，su 命令将会以 root 用户身份运行，这意味着它不会再要求输入任何密码。

PS：如果你想在系统中启用 root 用户帐户（强烈反对，因为你可以使用 sudo 命令或 sudo su 命令），你必须手动设置 root 用户密码，可以使用以下命令：

sudo passwd root

结论

当你需要可用的工具来提升（或一组完全不同的）权限来执行任务时，这篇文章以及之前的教程（其中侧重于 sudo 命令）应该能给你一个比较好的建议。 如果您也想分享关于 su 或 sudo 的相关内容或者经验，欢迎您在下方进行评论。

via: https://www.howtoforge.com/tutorial/sudo-vs-su/

作者：Himanshu Arora 译者：zhb127 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 中为什么会有一个名为 root 的特定账户？该怎么使用 root 账户？它在哪些场景下必须使用，哪些场景下不能使用？对于以上几个问题，如果您感兴趣的话，那么请继续阅读。

本文中，我们提供了一些关于 root 账户的参考资料，方便您了解。

root 是什么？

首先，记住这一点，在 Unix 类操作系统中，目录的层级结构被设计为树状结构。起始目录是一个特殊目录，使用斜杠 / 表示，而其他目录都是由起始目录分支而来。由于这种结构很像现实中的树，所以 / 也被称为 根 （ root ） 目录。

下图，我们可以看到以下命令的输出：

$ tree -d / | less

该命令主要是演示一下 / 根目录和树 根 （ root ） 的类比。

Linux 的目录层级

虽然 root 账户命名的原因还不是很清楚，可能是因为 root 账户是唯一一个在根目录 / 中有写权限的账号吧。

此外，由于 root 账户可以访问 Unix 类操作系统中的所有文件和命令，因此，它也常被称为超级用户。

另外，根目录 / 和 /root 目录不能混淆了，/root 目录是 root 账户的家目录。实际上，/root 目录是根目录 / 的子目录。

获取 root 权限

当我们说到 root（或者超级用户）权限的时候，我们指的是这样一种账户的权限：其在系统上的权限包含（但不限于）修改系统并授权其他用户对系统资源的访问权限。

胡乱使用 root 账户，轻则系统崩溃重则系统完全故障。这就是为什么会说，以下准则是使用 root 账户的正确姿势：

首先，使用 root 账户运行 visudo 命令编辑 /etc/sudoers 文件，给指定账户（如：supervisor）授予最低的超级用户权限。

最低超级用户权限可以包含，例如：添加用户 (adduser)、修改用户 (usermod)等权限。

接着，使用 supervisor 账户登录并使用 sudo 执行用户管理任务。此时，你可能会发现，当你执行需要超级用户权限（例如：删除软件包）的其它任务时，会失败。

没有使用超级用户权限运行命令

在必须使用超级用户权限时，重复执行以上两个步骤，一旦执行完成，则立即使用 exit 命令退回到无特限的账户。

此时，你需要确定一下其他周期性的任务是否需要超级用户权限？如果需要，那么在 /etc/sudoers 中，给指定的账户或组授予必要的权限，尽量避免直接使用 root 账户操作。

摘要

本文可以作为在 Unix 类操作系统中正确使用 root 账户的简单参考。收藏一下，你就可以随时翻阅！

还是一样，如果您对本文有什么疑问或建议，请使用以下的评论表单给我们评论留言，期待您的回音！

作者简介：

Gabriel Cánepa 来自 Villa Mercedes, San Luis, Argentina。他是一名 GNU/Linux 系统管理员和 Web 开发员，现在一家全球领先的消费品公司就职。他很喜欢使用 FOSS 工具来提高自己的工作效率。

via: http://www.tecmint.com/who-is-root-why-does-root-exist-in-linux/

作者：Gabriel Cánepa 译者：zhb127 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 和其他的类 Unix 操作系统中，只有 root 用户可以运行所有的命令，才能在系统中执行那些需要鉴权的操作，比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。

然而，系统管理员，比如说 root 用户，可以通过 sudo 命令 和一些配置选项来给普通用户进行授权，从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。

另外，系统管理员还可以分享 root 用户密码 (这个做法是不值得提倡的)，这样普通用户就可以通过 su 命令来转化为 root 用户角色。.

sudo 允许已授权用户按照指定的安全策略、以 root 用户 (或者是其他的用户角色) 权限来执行某个命令。

1. sudo 会读取和解析 /etc/sudoers 文件，查找调用命令的用户及其权限。
2. 然后提示调用该命令的用户输入密码 (通常是用户密码，但也可能是目标用户的密码，或者也可以通过 NOPASSWD 标志来跳过密码验证)。
3. 这之后， sudo 会创建一个子进程，调用 setuid() 来切换到目标用户。
4. 接着，它会在上述子进程中执行参数给定的 shell 或命令。

以下列出十个 /etc/sudoers 文件配置，使用 Defaults 项修改 sudo 命令的行为。

$ sudo cat /etc/sudoers

/etc/sudoers 文件：

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults    logfile="/var/log/sudo.log"
Defaults    lecture="always"
Defaults    badpass_message="Password is wrong, please try again"
Defaults    passwd_tries=5
Defaults    insults
Defaults    log_input,log_output

Defaults 项的类型

Defaults                parameter,   parameter_list     ### 对任意主机登录的所有用户起作用
Defaults@Host_List      parameter,   parameter_list     ### 对指定主机登录的所有用户起作用
Defaults:User_List      parameter,   parameter_list     ### 对指定用户起作用
Defaults!Cmnd_List      parameter,   parameter_list     ### 对指定命令起作用
Defaults>Runas_List     parameter,   parameter_list     ### 对以指定目标用户运行命令起作用

在本文讨论范围内，我们下面的将以第一个 Defaults 作为基准来参考。parameter 参数可以是标记 (flags)、整数值或者是列表 (list)。

值得注意的是，标记 (flag) 是指布尔类型值，可以使用 ! 操作符来进行取反，列表 (list) 有两个赋值运算符：+= (添加到列表) 和 -= (从列表中移除)。

Defaults     parameter
或
Defaults     parameter=值
或
Defaults     parameter -=值
Defaults     parameter +=值
或
Defaults     !parameter

1、 安置一个安全的 PATH 环境变量

该 PATH 环境变量应用于每个通过 sudo 执行的命令，需要注意两点：

1. 当系统管理员不信任 sudo 用户，便可以设置一个安全的 PATH 环境变量。
2. 该设置将 root 的 PATH 和用户的 PATH 分开，只有在 exempt_group 组的用户不受该设置的影响。

可以添加以下内容来设置：

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

2、 允许 tty 用户会话使用 sudo

该设置允许在一个真实的 tty 中进行调用 sudo，但不允许通过 cron 或者 cgi-bin 脚本等方法来调用。添加以下内容来设置：

Defaults  requiretty   

3、 使用 pty 运行 sudo 命令

少数情况下，攻击者可以通过 sudo 来运行一个恶意程序 (比如病毒或者恶意代码)，这种恶意程序可能会分叉出一个后台运行的进程，即使主程序完成执行，它仍能够运行在用户的终端设备上。

为了防止出现这样的情况，你可以通过 use_pty 参数来设置 sudo 使用伪终端来运行其他命令，而不必管 I/O 日志的开启状态。如下：

Defaults  use_pty

4、 创建 sudo 日志文件

默认下，sudo 通过 syslog(3) 来记录到日志。但是我们可以通过 logfile 参数来指定一个自定义的日志文件。如下：

Defaults  logfile="/var/log/sudo.log"

使用 log_host 和 log_year 参数可以对应记录日志主机名和 4 位数年份到自定义日志文件。如下：

Defaults  log_host, log_year, logfile="/var/log/sudo.log"

下面是自定义 sudo 日志文件的例示：

创建 sudo 日志文件

5、 记录 sudo 命令的输入/输出

log_input 和 log_output 参数可以让 sudo 命令运行在伪终端，并可以对应地记录所有的用户输入和输出到屏幕上。

默认的 I/O 日志目录为 /var/log/sudo-io，如果存在会话序列号，它将被存储到该目录。你可以通过 iolog_dir 参数来指定一个目录。

Defaults   log_input, log_output

这其中支持转义字符，像 %{seq} —— 以 36 为基数的单调递增序列，比如 000001，这里每两个数字都分别用来形成一个新目录。请看下边例示 00/00/01：

$ cd /var/log/sudo-io/
$ ls
$ cd  00/00/01
$ ls
$ cat log

记录 sudo 命令的输入/输出

cat 命令 来查看该目录的其余部分。

6、 为 sudo 用户提示命令用法

如下，使用 lecture 参数可以在系统中为 sudo 用户提示命令的用法：

参数属性值有三个选择：

1. always – 一直提示
2. once – 用户首次运行 sudo 时提示 (未指定参数属性值时的默认值)
3. never – 从不提示

Defaults  lecture="always"

此外，你还可以使用 lecture_file 参数类自定义提示内容，在指定的文件中输入适当的提示内容即可：

Defaults  lecture_file="/path/to/file"

为 sudo 用户提示命令用法

7、 输入错误的 sudo 密码是显示自定义信息

当某个用户输错密码时，会有一个对应的信息显示在屏幕上。默认是“抱歉，请重新尝试。(sorry, try again)”，你可以通过 badpass_message 参数来修改该信息：

Defaults  badpass_message="Password is wrong, please try again"

8、 增加 sudo 密码尝试限制次数

passwd_tries 参数用于指定用户尝试输入密码的次数。

默认为 3。

Defaults   passwd_tries=5

增加 sudo 密码尝试限制次数

使用 passwd_timeout 参数设置密码超时 (默认为 5 分钟)，如下：

Defaults   passwd_timeout=2

9、 在输错密码时让 sudo 羞辱用户

使用了 insults 参数之后，一旦你输出了密码，sudo 便会在命令窗口中显示羞辱你的信息。这个参数会自动关闭 badpass_message 参数。

Defaults  insults

在输错密码时让 sudo 羞辱用户

10、 更多关于 sudo 的配置

此外，欲了解更多 sudo 命令的配置，请自行阅读：su 与 sudo 的差异以及如何配置 sudo。

文毕。你也可以在评论区分享其他有用的 sudo 配置或者 Linux 技巧。

作者简介：Aaron Kili 是一名 Linux 和 F.O.S.S 忠实拥护者、高级 Linux 系统管理员、Web 开发者，目前在 TecMint 是一名活跃的博主，热衷于计算机并有着强烈的只是分享意愿。

译者简介：GHLandy —— 欲得之，则为之奋斗。 If you want it, work for it.

via: http://www.tecmint.com/sudoers-configurations-for-setting-sudo-in-linux/

作者：Aaron Kili 译者：GHLandy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

对于想了解Root帐号的Ubuntu新手，这里有一个简短的文章会让你对root账号和如何使用及为什么使用root账号有些清楚的认识。如你所见，每个版本的Ubuntu都会带一个root账号。

root账号也被称作管理员账号。你可以将root账号看作是有着同上帝一样的权力的账号。它可以删除任何文件，任何目录并对系统做出任何修改。root账号的权限是无限制的。

由于root账号过于强大，系统会自动地产生一个密码串，该密码串在系统上不可能通过加密来匹配到，如此一来用户就不能使用root帐号登入系统了。相对直接用root帐号登录，Ubuntu更支持用户使用sudo命令。

sudo命令可以使已获得授权的用户在不知道root帐号的密码也不使用root帐号的情况下，通过使用自己的密码暂时提升自己的权限。

如果你因为一些其它原因仍然想要使用root帐号并用它登录系统，很简单，给它设置一个密码就可以了。这样就可以使能root帐号了：

sudo passwd

上面的命令可以激活root帐号，但是想要用root帐号登录系统，你还必须打开被Ubuntu禁用的手动登录功能。手动登录功能允许用户输入帐号和相应的登录密码而不仅仅是从登录界面选择一个帐号登录。

要在Ubuntu 13.10中打开手动登录选项，你可以运行下面的命令

sudo gedit /etc/lightdm/lightdm.conf.d/50-unity-greeter.conf

然后如图所示添加下面这一行文字

greeter-show-manual-login=true

保存并重启电脑。

对于较早版本的Ubuntu，你可以在另外一个位置，即/etc/lightdm目录下找到这个配置文件。文件名可能叫lightdm.conf。

修改完后，在登录界面，你就可以输入root帐号和相应的密码然后登录系统了。

如果你想锁定/禁用root帐号，使用下面的命令

sudo passwd -l root

使用愉快！

via: http://www.liberiangeek.net/2013/09/daily-ubuntu-tipsknowing-root-account/

本文由 LCTT 原创翻译，Linux中国 荣誉推出

译者：Linchenguang 校对：wxy