本文綜合分析了Linux系統下，如何使用runuser命令、su命令和sudo命令以其他用戶身份來運行程序，以及這三個命令的運行效率比較。

 

一、su 命令臨時切換用戶身份

SU：( Switch user切換用戶)，可讓一個普通用戶切換為超級用戶或其他用戶，並可臨時擁有所切換用戶的權限，切換時需輸入欲切換用戶的密碼；也可以讓超級用戶切換為普通用戶，臨時以低權限身份處理事務，切換時無需輸入欲切換用戶的密碼。

zai Linux 系統中，有時候普通用戶有些事情是不能做的，除非是 root 用戶才能做到。這時就需要用 su 命令臨時切換到 root 身份來做事了。

1、su 的語法

su [OPTION選項參數] [用戶]

-, -l, –login

切換用戶時，使環境變量(home，shell，user，logname，path等）和欲切換的用戶相同、不使用則取得用戶的臨時權限，不加載環境變量。用su命令切換用戶后，可以用 exit 命令或快捷鍵[Ctrl+D]可返回原登錄用戶；

-c, –command=COMMAND

使用 -c 傳遞單個命令到 shell 中，執行命令后，就恢復原來的用戶身份，退出所切換到的用戶環境；

–session-command=COMMAND

使用 -c 傳遞單個命令到 shell 中，並且不創建新的會話；

-f, –fast

通過 -f 參數到 shell （針對 csh 或 tcsh）；

-m, –preserve-environment

不重置環境變量；

-s, –shell=SHELL

指定執行命令的shell；

–help 

顯示幫助信息；

–version

顯示版本信息；

2、su 的范例：

1 2 3 4 5

su  - su  - root su  - root -c  "ls -l /root" su  - oracle -c  "ulimit -aHS" su  -s  /bin/sh  -c  "/usr/local/nginx/sbin/nginx"

3、su 的優缺點
su 的確為管理帶來方便，通過切換到 root 下，能完成所有系統管理工具，只要把 root 的密碼交給任何一個普通用戶，他都能切換到 root 來完成所有的系統管理工作。但通過 su 切換到 root 后，也有不安全因素；比如系統有10個用戶，而且都參與管理。如果這10個用戶都涉及到超級權限的運用，做為管理員如果想讓其它用戶通過 su 來切換到超級權限的 root，必須把 root 權限密碼都告訴這10個用戶。如果這10個用戶都有 root 權限，通過 root 權限可、以做任何事，這在一定程度上就對系統的安全造成了威協，想想 Windows 吧，簡直就是惡夢。

“沒有不安全的系統，只有不安全的人”，我們絕對不能保證這10個用戶都能按正常操作流程來管理系統，其中任何一人對系統操作的重大失誤，都可能導致系統崩潰或數據損失，所以 su 工具在多人參與的系統管理中，並不是最好的選擇，su 只適用於一兩個人參與管理的系統，畢竟 su 並不能讓普通用戶受限的使用；超級用戶 root 密碼應該掌握在少數用戶手中，這絕對是真理！所以集權而治的存在還是有一定道理的。

二、sudo 命令
1、sudo 的適用條件
由於su 對切換到超級權限用戶 root 后，權限的無限制性，所以 su 並不能擔任多個管理員所管理的系統。如果用 su 來切換到超級用戶來管理系統，也不能明確哪些工作是由哪個管理員進行的操作。特別是對於服務器的管理有多人參與管理時，最好是針對每個管理員的技術特長和管理范圍，並且有針對性的下放給權限，並且約定其使用哪些工具來完成與其相關的工作，這時我們就有必要用到 sudo。通過 sudo，我們能把某些超級權限有針對性的下放，並且不需要普通用戶知道 root 密碼，所以 sudo 相對於權限無限制性的 su 來說，還是比較安全的，所以 sudo 也能被稱為受限制的 su。另外 sudo 是需要授權許可的，所以也被稱為授權許可的 su。
sudo 執行命令的流程是當前用戶切換到root（或其它指定切換到的用戶），然后以root（或其它指定的切換到的用戶）身份執行命令，執行完成后，直接退回到當前用戶，而這些的前提是要通過sudo的配置文件/etc/sudoers來進行授權。默認只有 root 用戶能使用 sudo 命令，普通用戶想要使用 sudo，是需要 root 預先設定的，默認 root 能夠 sudo 是因為這個文件中有一行”root ALL=(ALL) ALL”。

2、sudo 配置文件

我們可以用他的專用編輯工具 visodu ，此工具的好處是在添加規則不太准確時，保存退出時會提示給我們錯誤信息；配置好后，可以用切換到您授權的用戶下，通過sudo -l 來查看哪些命令是可以執行或禁止的。

/etc/sudoers 文件中每行算一個規則，前面帶有 # 號可以當作是說明的內容，並不執行；如果規則很長，一行列不下時，可以用 \ 號來續行，這樣看來一個規則也可以擁有多個行。

/etc/sudoers 的規則可分為兩類：一類是別名定義，另一類是授權規則；別名定義並不是必須的，但授權規則是必須的。

sudo授權規則(sudoers配置)：

1	授權用戶 主機=命令動作

這三個要素缺一不可，但在動作之前也可以指定切換到特定用戶下，在這里指定切換的用戶要用( )號括起來，如果不需要密碼直接運行命令的，應該加 NOPASSWD: 參數，但這些可以省略。舉例說明：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

## The COMMANDS section may have other options added to it. ## ## Allow root to run any commands anywhere root    ALL=(ALL)       ALL   ## Allows members of the 'sys' group to run networking, software, ## service management apps and more. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS   ## Allows people in group wheel to run all commands # %wheel        ALL=(ALL)       ALL   ## Same thing without a password # %wheel        ALL=(ALL)       NOPASSWD: ALL   ## Allows members of the users group to mount and unmount the ## cdrom as root # %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom   ## Allows members of the users group to shutdown this system # %users  localhost=/sbin/shutdown -h now   ## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment) #includedir /etc/sudoers.d

執行visudo之后，可以看見缺省只有一條配置：

root    ALL=(ALL) ALL

那么你就在下邊再加一條配置：
admin ALL=(ALL) ALL

這樣，普通用戶 admin 就能夠執行 root 權限的所有命令。

讓普通用戶support只能在某幾台服務器上，執行root能執行的某些命令，首先需要配置一些Alias，這樣在下面配置權限時，會方便一些，不用寫大段大段的配置。Alias主要分成4種：
Host_Alias

Cmnd_Alias

User_Alias

Runas_Alias

配置Host_Alias：就是主機的列表

Host_Alias      HOST_FLAG = hostname1, hostname2, hostname3

配置Cmnd_Alias：就是允許執行的命令的列表，命令前加上 ! 表示不能執行此命令。命令一定要使用絕對路徑，避免其他目錄的同名命令被執行，造成安全隱患 ,因此使用的時候也是使用絕對路徑!

Cmnd_Alias      COMMAND_FLAG = command1, command2, command3 ，!command4

配置User_Alias：就是具有sudo權限的用戶的列表

User_Alias USER_FLAG = user1, user2, user3

配置Runas_Alias：就是用戶以什么身份執行（例如root，或者oracle）的列表

Runas_Alias RUNAS_FLAG = operator1, operator2, operator3

配置權限的格式如下： 

USER_FLAG HOST_FLAG=(RUNAS_FLAG) COMMAND_FLAG

如果不需要密碼驗證的話，則按照這樣的格式來配置

USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: COMMAND_FLAG

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

## Host Aliases ## Groups of machines. You may prefer to use hostnames (perhaps using ## wildcards for entire domains) or IP addresses instead. Host_Alias      EPG = 192.168.1.1, 192.168.1.2 ## User Aliases ## These aren't often necessary, as you can use regular groups ## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname ## rather than USERALIAS # User_Alias ADMINS = jsmith, mikem ## Command Aliases ## These are groups of related commands... Cmnd_Alias      SQUID =  /opt/vtbin/squid_refresh , ! /sbin/service ,  /bin/rm   Cmnd_Alias      ADMPW =  /usr/bin/passwd  [A-Za-z]*, ! /usr/bin/passwd , ! /usr/bin/passwd  root ## Allow root to run any commands anywhere root    ALL=(ALL)       ALL admin EPG=(ALL) NOPASSWD: SQUID admin EPG=(ALL) NOPASSWD: ADMPW ## Allows people in group wheel to run all commands # %wheel        ALL=(ALL)       ALL   ## Same thing without a password # %wheel        ALL=(ALL)       NOPASSWD: ALL   ## Allows members of the users group to mount and unmount the ## cdrom as root # %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom   ## Allows members of the users group to shutdown this system # %users  localhost=/sbin/shutdown -h now

當然新用戶的配置也可以放到，/etc/sudoers.d/ 下的文件里，也會生效，修改也方便。

3、sudo 語法

sudo [ -Vhl LvkKsHPSb ] │ [ -p prompt ] [ -c class│- ] [ -a auth_type ] [-u username│#uid ] command

1 2 3 4 5 6 7 8 9 10 11

-V       顯示版本編號 -h       會顯示版本編號及指令的使用方式說明 -l       顯示出自己（執行 sudo 的使用者）的權限 -v       因為 sudo 在第一次執行時或是在 N 分鍾內沒有執行（N 預設為五）會問密碼，這個參數是重新做一次確認，如果超過 N 分鍾，也會問密碼 -k       將會強迫使用者在下一次執行 sudo 時問密碼（不論有沒有超過 N 分鍾） -b       將要執行的指令放在背景執行 -p       prompt 可以更改問密碼的提示語，其中 %u 會代換為使用者的帳號名稱， %h 會顯示主機名稱 -u       username/#uid 不加此參數，代表要以 root 的身份執行指令，而加了此參數，可以以 username 的身份執行指令（#uid 為該 username 的使用者號碼） -s       執行環境變數中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell -H       將環境變數中的 HOME （家目錄）指定為要變更身份的使用者家目錄（如不加 -u 參數就是系統管理者 root ） command  要以系統管理者身份（或以 -u 更改為其他人）執行的指令

三、runuser 命令

runuser命令使用一個替代的用戶或者組ID運行一個Shell。這個命令僅在root用戶時有用。
僅以會話PAM鈎子運行，並且沒有密碼提示。如果用一個非root用戶，並且該用戶沒有權限設置user ID，這個命令將會因為程序沒有setuid而失敗。因runuser不會運行認證和賬戶PAM鈎子，它比su更底層。

1、runuser 語法

語法與 su 命令基本一樣：

-, -l, –login

讓shell成為登錄shell，用 runuser -l PAM 文件替代默認的；

-g –group=group

指定主要的組；

-G –supp-group=group

指定追加組

-c, –command=COMMAND

使用 -c 傳遞單個命令到 shell 中，執行命令后，就退出到 root；

–session-command=COMMAND

通過一個單一的命令用 -c 參數到 shell ，不創建一個新的會話；

-f, –fast

通過 -f 參數到 shell （針對 csh 或 tcsh）；

-m, –preserve-environment

不重置環境變量；

-p     same as -m

-s, –shell=SHELL

指定執行命令的shell；

2、runuser 樣例

1 2 3

runuser -l userNameHere -c  '/path/to/command arg1 arg2' runuser -l oracle -c  'ulimit -SHa' runuser -s  /bin/sh  -c  "/usr/local/nginx/sbin/nginx"

有時，root用戶由於權限（安全）問題不能瀏覽NFS掛載的共享：

1	ls  -l  /nfs/wwwroot/http

或

1	cd  /nfs/wwwroot/http

可能的輸出：

1	- bash :  cd :  /nfs/wwwroot/http/ : Permission denied

盡管如此，apache用戶被允許瀏覽或訪問掛載在/nfs/wwwroot/http/下基於nfs的系統：

1	runuser -l apache -c  'ls -l /nfs/wwwroot/http/'

或

1	runuser -l apache -c  'cd /nfs/wwwroot/http/; vi index.php'

使用runuser命令，無需使用密碼，並且，只能在root用戶下使用。

四、總結：su VS su VS dorunuser

命令	root  到 用戶	用戶 到 root	任意用戶 到  任意用戶	認證方式	日志文件	備注
runuser	Y	N	N	無	無	因 runuser 不會運行認證和賬戶 PAM 鈎子，它比 su 更底層。
su	Y	Y	Y	目標用戶的密碼	/var/log/auth.log 或 /var/log/secure	你必須與其它用戶分享你的密碼或 root 密碼。
sudo	Y	Y	Y	認證用戶使用他們自己的密碼，而不是目標用戶。	/var/log/auth.log 或 /var/log/secure	允許系統管理員委托授權給一個特定的用戶（或用戶組），讓其在提供審計跟蹤命令后可以以 root 或其它用戶運行某些（或全部）命令。

su 與 runuser 都可以用來寫系統自啟動腳本，如 Tomcat 服務使用系統用戶啟動的自啟動腳本。什么時候使用哪種命令，根據使用場景自己來決定吧。