sudo和su有什么区别？

几天前，我收到了来自博客定期阅读者和强迫评论者Miguel的询问，内容涉及 两者之间到底有什么区别 须藤 y su。 特别是，Miguel担心一种方法是否比另一种更为安全。 碰巧我在那里读过 须藤不够安全 并想了解更多。这是另一篇帖子，专门针对那些希望获得更多关于 末期之谜.

Su

该计划 su 允许您使用其他用户的外壳程序而无需注销当前会话。 它通常用于获取管理操作的root权限，而不必注销并重新进入系统。 某些桌面环境，包括GNOME和KDE，具有允许用户执行通常需要这种访问权限的命令之前以图形方式要求输入密码的程序。

su这个名字来自英语 s优品 u是（替代用户）。 也有一些人使它源于 sUPERuser（超级用户，即根用户或管理员用户），因为它通常用于采用系统管理员的角色。

跑步的时候 su 它询问您要访问的帐户的密码，如果被接受，则可以访问该帐户。

[guy @ localhost] $您的密码：[root @ localhost]＃退出注销[guy @ localhost] $

通过不放置用户，可以以管理员身份访问它。 但是，也可以传递另一个用户名作为参数。

[guy @ localhost] $ su mongo密码：[mongo @ localhost]＃退出注销[guy @ localhost] $

输入密码后，我们就可以像执行其他用户一样执行命令。 书面 出口，我们返回给用户。

一种广泛使用的变体是使用 su 跟一个破折号。 因此，要以root用户身份登录，您必须输入 他的- 并以其他用户身份登录 您的-其他用户。 是否使用脚本之间的区别？ 建议使用该脚本，因为它会模拟您将以该用户身份登录。 因此，它将执行该用户的所有启动文件，将当前目录更改为该用户的HOME，更改一些使它们适应新用户的系统变量的值（HOME，SHELL，TERM，USER，LOGNAME等），和别的 更多的东西.

为根/管理员帐户选择密码时，系统管理员必须非常小心，以免受到运行中的非特权用户的攻击 su。 一些类Unix系统有一个名为 轮，这是唯一可以执行的人 su。 这可能会或可能不会减少安全性问题，因为入侵者可以简单地接管其中一个帐户。 他 su 但是，GNU不支持使用该组。 这样做是出于哲学原因。

须藤

一个相关的命令，称为 须藤，以其他用户身份执行命令，但要遵守一系列限制，即用户可以代表其他用户执行哪些命令（通常在文件中指定） / etc / sudoers).

另一方面，与 su, 须藤 提示用户输入自己的密码，而不是所需的用户； 这允许将命令委派给其他计算机上的用户，而不必共享密码，从而降低了使终端无人值守的风险。

须藤问题：宽限期

的优点 须藤 关于 su 是它仅执行假装为其他用户的请求命令，而没有实际更改当前用户。 这意味着一个人可以以管理员身份执行命令，下一秒钟，他们将拥有...或几乎之前使用过的用户的特权。

有些人认为安全漏洞是 须藤 授予“宽限期”，该宽限期允许用户以其他用户身份执行命令，而无需在执行命令后在命令和密码前重复输入sudo。 在“宽限期”之后， 须藤 会再次询问我们密码。

这是“不好的”，主要是因为有人在输入sudo密码后可以接管我们的计算机，并且在“宽限期”处于活动状态时进行灾难检查。

幸运的是，可以禁用“宽限期”，这将提高系统的安全性。 只需在文件中添加一行 / etc / sudoers:

sudo nano /等/ sudoers

并将以下行添加到文件末尾：

默认值：ALL timestamp_timeout = 0

更改将立即生效，而无需重新启动系统。