su su- sudo区别概述

在Linux的操作中经常会用到su 命令进行用户的切换和sudo命令获取root权限，su su- sudo三个命令经常弄混，下面简单的讲解下。

一、查看su的命令帮助信息：

pipci@openSUSE:~> su --help

用法：
 su [选项] [-] [<用户> [<参数>...]]

将有效用户 id 和组 id 更改为<用户>的 id。
单个 - 视为 -l。如果未指定<用户>，将假定为 root。

选项：
 -m, -p, --preserve-environment  不重置环境变量
 -g, --group <组>                            指定主组
 -G, --supp-group <组>                  指定一个辅助组

-, -l, --login                                     使 shell 成为登录 shell
 -c, --command <命令>                 使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                                       而不创建新会话
 -f, --fast                                         向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>                         若 /etc/shells 允许，运行<shell>

-h, --help                                       显示此帮助并退出
 -V, --version                                 输出版本信息并退出

pipci@openSUSE:~>

su(switch user)命令用于变更为其他使用者的身份，需要键入该使用者的密码。如果后面不加账户时系统默认为root账户，密码也root账户的密码。没有时间限制。通过上面的帮助信息可以知道su - 是命令su -l的简写。su -l的意思是使shell 成为登录shell，那么什么是登录shell那？

二、shell

1、什么是shell

shell简单的理解就是命令解释器，他将我们发出的指令转化为计算机能够理解的命令，只有通过他我们才能和计算机进行沟通，提供人机交互的接口。

2、什么是Bash shell

Unix的发展过程中出现了很多版本的shell，Linux默认使用的Bash shell就是其中的一个版本，Bash（Bourne-Again SHell ）shell是Bourne shell（sh）的增强版
也是GUN计划的一部分，其他比较著名的shell比如C shell，这里就不做介绍了。

2、查看系统支持的shell  （openSUSE系统下）

pipci@openSUSE:~> cat /etc/shells
/bin/ash
/bin/bash      #Bash shell
/bin/csh       #C Shell
/bin/dash
/bin/false
/bin/ksh
/bin/ksh93
/bin/mksh
/bin/pdksh
/bin/sh
/bin/tcsh
/bin/true
/bin/zsh
.......
pipci@openSUSE:~>

3、查看登录用户使用的shell

pipci@openSUSE:~> cat /etc/passwd
........

uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
vnc:x:487:486:user for VNC:/var/lib/empty:/sbin/nologin
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
pipci:x:1000:100:Pipci:/home/pipci:/bin/bash

pipci@openSUSE:~>

可以看出登录用户pipci使用的是/bin/bash  既Bash shell

4、登录shell (login shell)

获取bash shell的时候需要完整的登录流程，输入用户名和密码，就称为登录shell，比如通过ssh方式连接，或者由tty1 ~ tty6 登陆，需要输入用户的账号与密码，此时取得的 bash 就称为login shell

5、非登陆shell (non-login shell)：

取得 bash 接口的方法不需要重复登陆的举动
比如你以 X window（图形界面） 登陆 Linux 后， 再以 X 的图形化接口启动终端机，此时该终端接口无需输入账号与密码，则为non-login shell
再比如你在原本的 bash 环境下再次执行 bash 这个命令，同样的也没有输入账号密码， 这个新的 bash (子程序) 也是 non-login shell

6、登录shell与非登陆shell的区别

执行logout命令，退出登录shell（不能退出非登录shell，可以判断当前是否为登录shell）。

pipci@openSUSE:~> logout                           #假设为登录shell，尝试退出
bash: logout: 不是登录 shell: 使用 `exit'          #可以判断当下不是登录shell
pipci@openSUSE:~> su                                  #切换用户，如果su后面不指定用户，默认指定为root
密码：                                                              #输入root密码
openSUSE:/home/pipci # logout                      #判断切换root用户后是否是登录用户
bash: logout: 不是登录 shell: 使用 `exit'          #可以判断不是登录用户
openSUSE:/home/pipci # exit
exit
pipci@openSUSE:~> su -                                #通过su -命令使 shell 成为登录 shell
密码：
openSUSE:~ # logout                                       #可以判断su -后是登录shell
pipci@openSUSE:~>

上面只是通过命令演示了登录和非登录，真正的区别在于登录shell会从新加载环境变量的，当使用su -命令切换为root用户时shell环境也会一同切换为root shell环境，非登录shell不会从新加载环境变量，通过su命令切换为root用户时shell环境不会一同切换为root shell环境，还是在普通用户环境，只有切换了Shell环境才不会出现PATH环境变量错误，也就是找不的命令的错误，因为在命令行下输入的每个命令都会从PATH环境变量对应的目录搜索相应命令的执行文件，不同的用户有不同的环境对应不同的PATH环境变量，也就是不同的命令搜索目录，这样就会造成有的命令普通环境无法找到，而且su切换成root用户以后，pwd一下，发现工作目录仍然是普通用户的工作目录；而用su -命令切换以后，工作目录变成root的工作目录了。

举例说明：
pipci@ubuntu:~$ pwd                        #查看工作目录
/home/pipci
pipci@ubuntu:~$ echo $PATH          #产品普通用户PATH环境变量值
/usr/local/java/jre1.8.0_161/bin:/home/pipci/bin:/home/pipci/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
pipci@ubuntu:~$ su -
密码：
root@ubuntu:~# pwd                         #查看工作目录
/root
root@ubuntu:~# echo $PATH           #产品root用户PATH环境变量值
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
root@ubuntu:~#

三、sudo

sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。sudo不是对shell的一个代替，它是面向每个命令的。

在sudo于1980年前后被写出之前，一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。这样用户获得root权限后就可以肆无忌惮的做任何操作，这样万一用户设置的不当就有可能让整个系统瘫痪。
sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，记录在特殊的文件中（通常是/etc/sudoers），即完成对该用户的授权（此时该用户称为“sudoer”）；在一般用户需要取得特殊权限时，其可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内（默认为5分钟，不同的发行版可能不一样，可在/etc/sudoers自定义），使用sudo不需要再次输入密码。
由于不需要超级用户的密码，部分Unix系统甚至利用sudo使一般用户取代超级用户作为管理帐号，例如Ubuntu、Mac OS X等。

sudo也有点类似Windows下面的以管理员身份运行这样的功能。但是sudo可配置性会更多些。

编辑sudo的配置文件/etc/sudoers一般不要直接使用vi（vi /etc/sudoers）去编辑，因为sudoers配置有一定的语法，直接用vi编辑保存系统不会检查语法，如有错也保存了可能导致无法使用sudo工具，最好使用visudo命令去配置。虽然visudo也是调用vi去编辑，但是保存时会进行语法检查，有错会有提示

1、查看sudo的命令帮助信息：

pipci@openSUSE:~> sudo -h
sudo - 以其他用户身份执行一条命令

usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file ...

选项：
  -A, --askpass                       使用助手程序进行密码提示
  -b, --background                   在后台运行命令
  -C, --close-from=num          关闭所有 >= num 的文件描述符
  -E, --preserve-env               在执行命令时保留用户环境
  -e, --edit                                编辑文件而非执行命令
  -g, --group=group                 以指定的用户组或 ID 执行命令
  -H, --set-home                     将 HOME 变量设为目标用户的主目录。
  -h, --help                              显示帮助消息并退出
  -h, --host=host                    在主机上运行命令(如果插件支持)
  -i, --login                              以目标用户身份运行一个登录 shell；可同时指定一条命令        #相当于su -
  -K, --remove-timestamp        完全移除时间戳文件                                                                                                  
  -k, --reset-timestamp            无效的时间戳文件                                                                                                    
  -l, --list                                    列出用户权限或检查某个特定命令；对于长格式，使用两次                                                                
  -n, --non-interactive               非交互模式，不提示                                                                                                  
  -P, --preserve-groups            保留组向量，而非设置为目标的组向量                                                                                  
  -p, --prompt=prompt              使用指定的密码提示                                                                                                  
  -r, --role=role                          以指定的角色创建 SELinux 安全环境                                                                                   
  -S, --stdin                               从标准输入读取密码                                                                                                  
  -s, --shell                               以目标用户运行 shell；可同时指定一条命令                    #相当于su                                                                           
  -t, --type=type                        以指定的类型创建 SELinux 安全环境                                                                                   
  -T, --command-timeout=timeout        在达到指定时间限制后终止命令
  -U, --other-user=user                         在列表模式中显示用户的权限
  -u, --user=user                                   以指定用户或 ID 运行命令(或编辑文件)
  -V, --version                                       显示版本信息并退出
  -v, --validate                                      更新用户的时间戳而不执行命令
  --                                                       停止处理命令行参数
pipci@openSUSE:~>