Linux如何切换用户身份执行命令

最核心的方法是使用su或sudo切换用户身份。su用于完全切换到目标用户环境，需输入目标用户密码，适合长时间以另一身份操作；而sudo侧重以指定用户权限执行单条命令，输入当前用户密码即可，更符合最小权限原则，便于审计与精细化控制。日常管理推荐优先使用sudo，通过visudo配置/etc/sudoers文件，遵循最小权限、精确到命令的授权策略，避免滥用NOPASSWD，并利用组和别名简化管理，同时确保日志记录完整以实现安全审计。

在Linux系统里，当我们想以不同于当前登录用户的身份去执行某个命令时，最核心且常用的方法就是通过

su

sudo

解决方案

要切换用户身份执行命令，主要有两种途径：

su

sudo

su

su username

username

su

su - username

.bashrc

.profile

举个例子，如果你想以用户

testuser

su - testuser
# 输入 testuser 的密码
# 现在你就是 testuser 了，可以执行各种命令
ls -l /home/testuser
exit # 退出 testuser 身份，回到原来的用户

而

sudo

sudo command_to_execute

sudo

/etc/sudoers

比如，当前用户

myuser

sudo apt update
# 输入 myuser 的密码

在我看来，

sudo

为什么我们需要切换用户身份？

说实话，这在Linux的世界里是再正常不过的需求了，而且是出于多方面的考虑。最直接的原因当然是安全。想象一下，如果所有操作都直接用root用户执行，那就像用万能钥匙开所有门，一旦钥匙丢了，整个系统都可能面临风险。通过切换到低权限用户，我们能确保大部分日常工作都在一个受限的环境中进行，即使不小心执行了错误命令，破坏力也有限。

其次，系统管理本身就要求我们这样做。很多系统级的任务，比如安装软件、修改系统配置文件、启动或停止服务，都需要root权限。但你不可能一直以root身份登录，那太危险了。所以，当需要执行这些任务时，我们暂时提升权限，任务完成后立即回到普通用户，这是一种良好的操作习惯。

再者，在多用户环境下，切换用户身份是协作和隔离的基石。比如，一个开发团队可能在同一台服务器上部署多个应用，每个应用都运行在各自的专用用户下，这样可以避免不同应用之间的权限冲突和资源滥用。我有时候需要测试一个新服务，我会特意为它创建一个独立的用户，然后切换到那个用户下运行，看看它的行为是否符合预期，以及它是否能正确访问它被授权访问的资源。这对于调试和确保应用的健壮性非常有帮助。

sudo

登录后复制

和

su

登录后复制

的核心区别与最佳实践是什么？

在我多年的Linux使用经验中，

sudo

su

su

su - target_user

target_user

sudo

sudo command

1. 最小权限原则：你只在需要的时候提升权限，执行完命令后立即恢复到普通用户身份。
2. 精细化控制：通过

   /etc/sudoers

   登录后复制
   文件，管理员可以精确地配置哪些用户可以以哪些身份执行哪些命令，甚至可以指定是否需要密码。
3. 审计追踪：

   sudo

   登录后复制
   的每次使用都会被记录下来，这对于系统安全审计非常重要，可以追踪谁在何时执行了什么特权命令。

最佳实践：

• 优先使用

  sudo

  登录后复制
  ：对于绝大多数需要root权限的日常管理任务，都应该优先使用

  sudo

  登录后复制
  。它更安全，管理起来也更方便。
• 避免长时间以root身份工作：无论是通过

  su -

  登录后复制
  切换到root，还是通过

  sudo -i

  登录后复制
  或

  sudo su -

  登录后复制
  获取root shell，都应该尽量缩短root会话的时间。任务完成后立即退出root身份。
• 谨慎配置

  sudoers

  登录后复制
  ：不要轻易给用户

  ALL=(ALL) ALL

  登录后复制
  这样的权限，这等于授予了无限制的root权限。应该根据实际需求，给予用户执行特定命令的权限。
• 使用

  su

  登录后复制
  的场景：当你需要完全模拟另一个用户的环境来测试应用、调试问题，或者在没有

  sudo

  登录后复制
  配置的情况下，知道目标用户密码时，

  su

  登录后复制
  是合适的选择。但即便如此，也建议使用

  su -

  登录后复制
  来加载完整的用户环境。

如何安全地配置

sudo

登录后复制

权限？

安全地配置

sudo

sudoers

Blackink AI纹身生成

创建类似纹身的设计，生成独特纹身

17

查看详情

核心工具是

visudo

/etc/sudoers

visudo

sudo

以下是一些关键的配置策略：

1. 基于组的授权：这是最常见的做法。与其给每个用户单独授权，不如创建一个专门的组（例如

   admin

   登录后复制
   或

   sysops

   登录后复制
   ），然后把需要

   sudo

   登录后复制
   权限的用户加入这个组。在

   sudoers

   登录后复制
   文件中，你可以这样配置：

   %admin ALL=(ALL) ALL

   登录后复制

   这表示

   admin

   登录后复制
   组的所有成员都可以在任何主机上以任何用户身份执行任何命令。虽然方便，但如果安全性要求高，这可能还是太宽泛了。

2. 精确到命令的授权：这是我个人最推荐的方式，尤其是在生产环境。不要给用户执行所有命令的权限，而是只授权他们执行完成特定任务所必需的命令。

   username ALL=(ALL) /usr/bin/systemctl restart apache2, /usr/bin/apt update

   登录后复制

   这条规则意味着

   username

   登录后复制
   可以在任何主机上以任何用户身份（

   ALL=(ALL)

   登录后复制
   ）执行

   systemctl restart apache2

   登录后复制
   和

   apt update

   登录后复制
   这两个命令。注意，需要写明命令的完整路径，以防止路径劫持（PATH hijacking）攻击。

3. NOPASSWD

   登录后复制
   选项的谨慎使用：有时候，为了自动化脚本或特定场景，我们可能希望用户在执行某些命令时不需要输入密码。这时可以使用

   NOPASSWD

   登录后复制
   。

   username ALL=(ALL) NOPASSWD: /usr/bin/apt update

   登录后复制

   但这个选项必须极其谨慎地使用，并且只应用于那些即使被滥用也不会造成重大安全问题的命令。比如，允许某个监控用户无需密码执行

   systemctl status some_service

   登录后复制
   ，这通常是安全的。但如果对

   rm -rf /

   登录后复制
   使用

   NOPASSWD

   登录后复制
   ，那就是自掘坟墓了。

4. 使用别名来简化管理：当有很多命令或很多用户需要授权时，可以使用

   User_Alias

   登录后复制
   和

   Cmnd_Alias

   登录后复制
   来提高可读性和管理效率。

   User_Alias DEVOPS = user1, user2, user3
   Cmnd_Alias WEB_OPS = /usr/bin/systemctl restart apache2, /usr/bin/systemctl status apache2
   
   DEVOPS ALL=(ALL) WEB_OPS

   登录后复制

   这样，你只需要修改别名定义，就能一次性更新多个用户或命令的权限。

5. 环境变量的处理：

   sudo

   登录后复制
   默认会重置大部分环境变量，以避免潜在的安全风险（例如恶意修改

   PATH

   登录后复制
   变量）。通常，

   Defaults env_reset

   登录后复制
   是默认开启的，这是个好习惯。如果你确实需要保留某些环境变量，可以使用

   Defaults env_keep="VARNAME"

   登录后复制
   ，但这需要仔细评估其安全性。

6. 审计与日志：

   sudo

   登录后复制
   的每一次使用都会被记录到系统日志中（通常是

   /var/log/auth.log

   登录后复制
   或

   /var/log/secure

   登录后复制
   ）。确保你的日志系统配置得当，并且定期审查这些日志，以便及时发现异常活动。这就像给系统装上了监控摄像头，一旦有不寻常的“闯入”，我们就能及时发现。

总的来说，配置

sudo

以上就是Linux如何切换用户身份执行命令的详细内容，更多请关注php中文网其它相关文章！