Linux如何切换用户并执行命令-linux运维-PHP中文网

答案：Linux中切换用户执行命令主要用su和sudo。su需目标用户密码，完全切换环境；sudo基于权限配置，用当前用户密码以其他身份执行命令，更安全且可审计。

linux如何切换用户并执行命令

在Linux系统中，切换用户并执行命令主要有两种核心方式：使用

su

登录后复制

命令完全切换到目标用户的环境，或者使用

sudo

登录后复制

命令以另一个用户的身份（通常是root）执行单个或一系列命令。前者需要目标用户的密码，后者则依赖于当前用户的密码和

sudoers

登录后复制

文件中的权限配置。

解决方案

要切换用户并执行命令，我们通常会用到以下几种方法：

1. 使用

su

登录后复制

命令（Substitute User）

su

登录后复制

命令允许你切换到另一个用户身份，其行为取决于是否使用

登录后复制

选项。

完全切换到目标用户的登录环境： 当你需要完全模拟另一个用户的工作环境，包括其家目录、环境变量、shell等，这是最常用的方式。
```
su - [目标用户名]
```
登录后复制
例如，切换到root用户：
```
su - root
```
登录后复制
或者直接简写为：
```
su -
```
登录后复制
系统会提示你输入目标用户的密码。成功后，你的shell会变成目标用户的shell，并且你的当前工作目录也会切换到目标用户的家目录。此时，你可以像目标用户一样执行任何命令。完成后，输入
```
exit
```
登录后复制
即可返回到原来的用户。
切换到目标用户但保留当前环境： 如果你只想以目标用户的身份执行命令，但希望保留当前用户的环境变量和工作目录，可以使用：
```
su [目标用户名]
```
登录后复制
例如，切换到普通用户
```
testuser
```
登录后复制
：
```
su testuser
```
登录后复制
同样需要输入目标用户的密码。这种方式下，目标用户的一些特定配置可能不会被加载，这在某些特定场景下有用，但通常不如
```
su -
```
登录后复制
常用。

2. 使用

sudo

登录后复制

命令（Superuser Do）

sudo

登录后复制

命令允许授权用户以另一个用户（默认为root）的身份执行命令，而无需知道目标用户的密码。它依赖于

/etc/sudoers

登录后复制

文件的配置。

以root身份执行单个命令： 这是最常见的用法，用于执行需要root权限的管理任务。
```
sudo [命令]
```
登录后复制
例如，更新系统软件包：
```
sudo apt update
```
登录后复制
系统会提示你输入当前用户的密码（如果这是你第一次使用
```
sudo
```
登录后复制
或上次使用已超时）。如果你的用户在
```
sudoers
```
登录后复制
文件中被授权，该命令就会以root权限执行。
以指定用户身份执行单个命令： 如果你需要以非root的其他用户身份执行命令，可以使用
```
-u
```
登录后复制
选项。
```
sudo -u [目标用户名] [命令]
```
登录后复制
例如，以用户
```
www-data
```
登录后复制
的身份重启Apache服务：
```
sudo -u www-data systemctl restart apache2
```
登录后复制
这在管理多个服务或应用时非常有用，可以确保每个服务都以其预期的用户身份运行。
切换到root用户的shell环境： 如果你需要长时间以root身份操作，但又不想使用
```
su -
```
登录后复制
（因为它需要root密码），可以使用
```
sudo -i
```
登录后复制
或
```
sudo -s
```
登录后复制
。
```
sudo -i
```
登录后复制
这会启动一个root的登录shell，加载root的环境变量和家目录，与
```
su - root
```
登录后复制
效果类似，但输入的是你自己的密码。
```
sudo -s
```
登录后复制
这会启动一个root的非登录shell，通常会保留当前用户的部分环境变量。

为什么我们需要切换用户执行命令？深入探讨权限管理与安全性

在Linux系统管理中，切换用户并执行命令不仅仅是技术操作，它更是一种深思熟虑的安全哲学和系统管理规范。我个人认为，理解这一点是成为一名合格的系统管理员的关键。

首先，权限管理是核心。大多数系统服务和应用程序并不需要root权限来运行。例如，一个Web服务器或数据库服务，它们通常会以一个专用的、权限受限的用户（如

www-data

登录后复制

或

mysql

登录后复制

）来运行。这遵循了“最小权限原则”——只赋予完成任务所需的最低权限。如果这些服务以root身份运行，一旦它们被攻破，攻击者就能获得整个系统的控制权，后果不堪设想。通过切换到特定用户执行命令，我们能确保操作的范围被严格限制，大大降低了潜在的安全风险。

其次，环境隔离也是一个重要考量。每个用户都有自己的家目录、配置文件、环境变量和shell历史。在多用户或多项目环境中，不同用户之间可能需要不同的配置。比如，一个开发用户可能需要特定的Python版本和库，而另一个生产环境用户则需要另一套配置。通过切换用户，我们可以确保在正确的环境中执行命令，避免不同配置之间的冲突和意外影响。我经常遇到因为环境变量设置不当导致的问题，而切换到正确的用户环境往往能直接解决。

再者，审计追踪在故障排排除和安全事件响应中至关重要。

sudo

登录后复制

命令的一个显著优势是它会详细记录谁在何时以何种身份执行了什么命令。这为系统管理员提供了宝贵的审计线索。当系统出现问题时，我们可以通过日志迅速定位到具体的操作者和操作内容。如果所有人都用root用户操作，那么一旦出问题，追溯起来就非常困难，甚至无法确定责任人。

最后，从我个人的经验来看，养成不轻易使用root用户的习惯，能够显著提升系统的健壮性和管理效率。很多时候，我们为了图一时方便，直接用root执行命令，但这往往会埋下隐患。比如，不小心删错了文件，或者修改了不该修改的配置。而通过

sudo

登录后复制

或

su

登录后复制

到特定用户，可以让我们在执行敏感操作前多一份思考，多一道安全屏障。这不仅仅是技术上的严谨，更是一种对系统负责的态度。

su

登录后复制

和

sudo

登录后复制

在实际使用中有什么核心区别和最佳实践？

尽管

su

登录后复制

和

sudo

登录后复制

都能实现用户切换或以其他用户身份执行命令，但它们在设计哲学、操作机制和适用场景上有着显著的区别。理解这些差异对于选择合适的工具至关关重要。

核心区别：

密码验证机制：
- su
  登录后复制
  ：需要输入目标用户的密码。如果你想切换到root用户，就需要root用户的密码。这意味着root密码必须被知道并可能在团队成员间共享，这本身就是一个安全隐患。
- sudo
  登录后复制
  ：通常需要输入当前用户的密码。如果当前用户在
```
/etc/sudoers
```
  登录后复制
  文件中被授权，它就可以以另一个用户的身份执行命令。这样，root密码可以保持高度机密，无需共享。
权限粒度与控制：

行者AI
行者AI绘图创作，唤醒新的灵感，创造更多可能

100

查看详情
- su
  登录后复制
  ：一旦切换成功（特别是
```
su -
```
  登录后复制
  ），你就完全获得了目标用户的环境和所有权限。这是一种“全有或全无”的模式。
- sudo
  登录后复制
  ：提供了更精细的权限控制。你可以在
```
/etc/sudoers
```
  登录后复制
  文件中精确地配置某个用户或某个组可以以哪些用户的身份，执行哪些特定的命令，甚至可以限制这些命令的参数。例如，只允许某个用户重启特定的服务，而不允许执行其他任何root操作。
日志记录与审计：
- su
  登录后复制
  ：记录相对简单，通常只记录用户切换的事件。要追溯切换后执行了什么命令，需要依赖shell的历史记录，而这容易被清除或伪造。
- sudo
  登录后复制
  ：提供了非常详细的日志记录，通常记录在
```
/var/log/auth.log
```
  登录后复制
  或
```
/var/log/secure
```
  登录后复制
  中，包括哪个用户在何时何地以哪个用户身份执行了哪个命令。这对于安全审计和故障排查至关重要，提供了不可抵赖的操作记录。
环境继承：
- su -
  登录后复制
  ：会加载目标用户的完整登录环境，包括其环境变量、PATH、家目录等。
- su
  登录后复制
  （不带
  -
  登录后复制
  ）：会切换用户身份，但会保留当前用户的部分环境变量和工作目录。
- sudo
  登录后复制
  ：默认情况下，会重置大部分环境变量，以提供一个干净、可预测的执行环境，防止恶意用户通过设置特殊环境变量来提升权限。
```
sudo -i
```
  登录后复制
  会模拟登录shell，而
```
sudo -s
```
  登录后复制
  会启动一个非登录shell。

最佳实践：

我个人的经验是，在绝大多数日常系统管理任务中，

sudo

登录后复制

是优于
su
登录后复制
的选择。

优先使用
sudo
登录后复制
：除非你真的需要完全模拟另一个用户的完整登录环境进行调试或特定开发任务，否则应始终优先使用
```
sudo
```
登录后复制
。它提供了更好的安全性、更细致的权限控制和更完善的审计追踪。
避免共享root密码： 使用
```
sudo
```
登录后复制
可以避免在团队成员之间共享root密码。每个管理员只需记住自己的密码，通过
```
sudoers
```
登录后复制
文件授权即可。
最小权限原则： 在配置
```
sudoers
```
登录后复制
时，遵循最小权限原则。只赋予用户或组完成其工作所需的最低权限，而不是笼统地给予所有root权限。
使用
sudo -i
登录后复制
进行长时间root会话：如果确实需要长时间以root身份操作（例如进行复杂的系统维护），使用
```
sudo -i
```
登录后复制
比
```
su -
```
登录后复制
更安全，因为它使用你自己的密码进行验证，并且有更好的日志记录。
警惕
NOPASSWD
登录后复制
选项：尽管
```
NOPASSWD
```
登录后复制
可以提高便利性，但它也降低了安全性。只在确实必要且风险可控的情况下使用，例如用于自动化脚本或特定服务账户。

简而言之，

sudo

登录后复制

是现代Linux系统管理的首选工具，它在安全性、可审计性和灵活性方面都超越了

su

登录后复制

。

su

登录后复制

更像是一种“切换身份”的工具，而

sudo

登录后复制

则是一种“授权执行”的机制。

如何配置

sudo

登录后复制

权限以确保安全与效率？

配置

sudo

登录后复制

权限是Linux系统管理中一项既关键又需要谨慎对待的任务。正确的配置能有效提升系统安全性和管理效率，而错误的配置则可能带来严重的安全漏洞。

1. 使用

visudo

登录后复制

命令编辑
sudoers
登录后复制
文件

这是最重要的一点：永远不要直接编辑

/etc/sudoers

登录后复制

文件！ 请务必使用

visudo

登录后复制

命令。

visudo

登录后复制

会在你保存文件时检查语法错误，如果存在错误，它会阻止你保存，从而避免将系统置于无法使用

sudo

登录后复制

的危险境地。

sudo visudo

登录后复制

visudo

登录后复制

通常会打开

sudoers

登录后复制

文件在

vi

登录后复制

编辑器中。如果你不熟悉

vi

登录后复制

，可以设置

EDITOR

登录后复制

或

VISUAL

登录后复制

环境变量来使用你更喜欢的编辑器，例如：

export EDITOR=nano
sudo visudo

登录后复制

2. 理解

sudoers

登录后复制

文件的基本结构

sudoers

登录后复制

文件中的每一行通常遵循以下格式：

User_Alias      CMND_Alias      Runas_Alias     COMMANDS

登录后复制

或者更常见的：

用户名/组名   主机名=(运行身份)   命令

登录后复制

用户名/组名
登录后复制
：可以是单个用户（如
```
john
```
登录后复制
），也可以是用户组（以
```
%
```
登录后复制
开头，如
```
%admin
```
登录后复制
）。
主机名
登录后复制
：指定该规则适用于哪些主机。通常是
```
ALL
```
登录后复制
，表示所有主机。
运行身份
登录后复制
：指定命令将以哪个用户（或哪个组）的身份运行。默认是
```
ALL
```
登录后复制
（即root），也可以指定
```
=(user)
```
登录后复制
或
```
=(user:group)
```
登录后复制
。
命令
登录后复制
：指定用户可以执行哪些命令。可以是
```
ALL
```
登录后复制
（所有命令），也可以是具体命令的绝对路径（如
```
/usr/bin/apt update
```
登录后复制
），多个命令之间用逗号分隔。

3. 常见配置示例与解析

允许用户
```
john
```
登录后复制
执行所有命令（以root身份）：
```
john ALL=(ALL) ALL
```
登录后复制
这是最宽松的配置，赋予了
```
john
```
登录后复制
完全的root权限。
允许
```
admin
```
登录后复制
组的所有成员执行所有命令（以root身份）：
```
%admin ALL=(ALL) ALL
```
登录后复制
推荐将管理用户放入一个组中，这样更易于管理。
允许用户
```
devuser
```
登录后复制
以
www-data
登录后复制
的身份执行
/usr/bin/systemctl restart apache2
登录后复制
命令：
```
devuser ALL=(www-data) /usr/bin/systemctl restart apache2
```
登录后复制
这是一个很好的例子，展示了如何限制用户只能以特定身份执行特定命令。
允许用户
```
monitor
```
登录后复制
执行特定的监控命令，无需密码：
```
monitor ALL=(ALL) NOPASSWD: /usr/bin/systemctl status nginx, /usr/bin/tail -f /var/log/nginx/error.log
```
登录后复制
```
NOPASSWD:
```
登录后复制
选项表示执行这些命令时不需要输入密码。这在自动化脚本或特定监控场景中可能有用，但应谨慎使用，因为它降低了安全性。

使用别名来简化配置： 当你有大量命令或用户需要配置时，别名可以大大提高可读性和管理效率。

User_Alias WEBADMINS = john, jane
Cmnd_Alias WEB_CMDS = /usr/bin/systemctl restart apache2, /usr/bin/systemctl stop apache2, /usr/bin/nginx -t
WEBADMINS ALL=(ALL) WEB_CMDS

登录后复制

4. 安全与效率的平衡

配置

sudo

登录后复制

权限是一门艺术，需要在安全性和效率之间找到一个合适的平衡点。

最小权限原则： 这是最重要的安全原则。只赋予用户或组完成其任务所需的最小权限。避免使用
```
ALL
```
登录后复制
，除非确实是系统管理员。
具体命令的绝对路径： 总是使用命令的绝对路径（如
```
/usr/bin/apt
```
登录后复制
而不是
```
apt
```
登录后复制
），以防止用户通过修改
```
PATH
```
登录后复制
环境变量来执行恶意命令。
限制
NOPASSWD
登录后复制
：尽可能避免使用
```
NOPASSWD
```
登录后复制
。如果必须使用，确保只应用于那些低风险且对系统影响有限的命令。
定期审计： 定期审查
```
/etc/sudoers
```
登录后复制
文件，确保所有权限配置仍然是必要且合理的。
使用组管理： 将用户添加到适当的组中，然后为组配置
```
sudo
```
登录后复制
权限，这样比为每个用户单独配置更易于管理。