Linux系统中的root超级权限的控制

Linux系统中的root超级权限的控制

超级用户是系统最高权限的拥有者，是系统管理唯一的胜任者；由于权限的超级并且达到无所不能的地步，如果管理不擅，必会对系统安全造成威胁。 除了尽可能的避免用直接用超级用户root登录系统外，我们还要学会在普通用户下临时切换到超级用户root下完成必要的系统管理工作；从用户管理和系统 安全角度来说是极有意义的；

本文对普通用户切换到root用户的实现命令 su 和sudo 做了实例解说；希望能为初学者学习带来方便；

目录索引

一、对超级用户和普通用户的理解；

1、什么是超级用户；
2、理解 UID 和用户的对应关系
3、普通用户和伪装用户
二. 超级用户（权限）在系统管理中的作用

1、对任何文件、目录或进程进行操作；
2、对于涉及系统全局的系统管理；
3、超级权限的不可替代性；
三、使用 su 命令临时切换用户身份；

1、su 的适用条件和威力；
2、su 的用法；
3、su 的范例；
4、su 的优缺点
四、sudo 授权许可使用的su，也是受限制的su

1. sudo 的适用条件；
2、从编写 sudo 配置文件/etc/sudoers开始；
3、/etc/sudoers 配置文件中别名规则
4、/etc/sudoers中的授权规则：
5、/etc/sudoers中其它的未尽事项；
6、sudo的用法；
五、后记；
六、关于本文；
七、致谢；
八、参考文档；

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
正文
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在Linux操作系统中，root的权限是最高的，也被称为超级权限的拥有者。普通用户无法执行的操作，root用户都能完成，所以也被称之为超级管理用户。

在系统中，每个文件、目录和进程，都归属于某一个用户，没有用户许可其它普通用户是无法操作的，但对root除外。root用户的特权性还表现在 root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除（在系统正常的许可范围内）；对可执行程序的执行、终止；对硬件设备的添加、创建和 移除等；也可以对文件和目录进行属主和权限进行修改，以适合系统管理的需要（因为root是系统中权限最高的特权用户）；

一、对超级用户和普通用户的理解；

 

1、什么是超级用户；

在所有Linux系统中，系统 都是通过UID来区分用户权限级别的，而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作，所以说超级用户可以 完成系统管理的所有工具；我们可以通过/etc/passwd 来查得UID为0的用户是root，而且只有root对应的UID为0，从这一点来看，root用户在系统中是无可替代的至高地位和无限制权限。root 用户在系统中就是超级用户；

2、理解 UID 和用户的对应关系

当系统默认安装时，系统用户和UID 是一对一的对关系，也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的，我们在 《用户（user）和用户组（group）配置文件详解》中 的UID 的解说中有谈到“UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名；把几个用户共用一个UID 是危险的，比如我们把普通用户的UID 改为0，和root共用一个UID ，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID ；”

在系统中，能不能让UID 和用户是一对多的关系？是可以的，比如我们可以把一个UID为0这个值分配给几个用户共同使用，这就是UID 和用户的一对多的关系。但这样做的确有点危险；相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后，事 实上这个普通用户就具有了超级权限，他的能力和权限和root用户一样；用户beinan所有的操作都将被标识为root的操作，因为beinan的 UID为0,而UID为0的用户是root ，是不是有点扰口？也可以理解为UID为0的用户就是root ，root用户的UID就是0；

UID和用户的一对一的对应关系 ，只是要求管理员进行系统管理时，所要坚守的准则，因为系统安全还是第一位的。所以我们还是把超级权限保留给root这唯一的用户是最好的选择；

如果我们不把UID的0值的分享给其它用户使用，只有root用户是唯一拥有UID=0的话，root用户就是唯一的超级权限用户；

3、普通用户和伪装用户

与超级用户相对的就是普通用户和虚拟（也被称为伪装用户），普通和伪装用户都是受限用户；但为了完成特定的任务，普通用户和伪装用户也是必须 的；Linux是一个多用户、多任务的操作系统，多用户主要体现在用户的角色的多样性，不同的用户所分配的权限也不同；这也是Linux系统比Windows系统更为安全的本质所在，即使是现在最新版本的Windows 2003 ，也无法抹去其单用户系统的烙印；

二. 超级用户（权限）在系统管理中的作用

 

超级权限用户（UID为0的用户）到底在系统管理中起什么作用呢？主要表现在以下两点；

1、对任何文件、目录或进程进行操作；

但值得注意的是这种操作是在系统最高许可范围内的操作；有些操作就是具有超级权限的root也无法完成；

比如/proc 目录，/proc 是用来反应系统运行的实时状态信息的，因此即便是root也无能为力；它的权限如下

[root@localhost ~]# pwd
/root
[root@localhost ~]# cd /
[root@localhost /]# ls -ld /proc/
dr-xr-xr-x 134 root root 0 2005-10-27 /proc/

就是这个目录，只能是读和执行权限，但绝对没有写权限的；就是我们把/proc 目录的写权限打开给root，root用户也是不能进行写操作；

[root@localhost ~]# chmod 755 /proc
[root@localhost /]# ls -ld /proc/
drwxr-xr-x 134 root root 0 2005-10-27 /proc/
[root@localhost /]# cd /proc/
[root@localhost proc]# mkdir testdir
mkdir: 无法创建目录‘testdir’: 没有那个文件或目录

2、对于涉及系统全局的系统管理；

硬件管理、文件系统理解、用户管理以及涉及到的系统全局配置等等……如果您执行某个命令或工具时，提示您无权限，大多是需要超级权限来完成；

比如用adduser来添加用户，这个只能用通过超级权限的用户来完成；

3、超级权限的不可替代性；

由于超级权限在系统管理中的不可缺少的重要作用，为了完成系统管理任务，我们必须用到超级权限；在一般情况下，为了系统安全，对于一般常规级别的应 用，不需要root用户来操作完成，root用户只是被用来管理和维护系统之用；比如系统日志的查看、清理，用户的添加和删除……

在不涉及系统管理的工作的环境下，普通用户足可以完成，比如编写一个文件，听听音乐；用gimp 处理一个图片等…… 基于普通应用程序的调用，大多普通用户就可以完成；

当我们以普通权限的用户登录系统时，有些系统配置及系统管理必须通过超级权限用户完成，比如对系统日志的管理，添加和删除用户。而如何才能不直接以root登录，却能从普通用户切换到root用户下才能进行操作系统管理需要的工作，这就涉及到超级权限管理的问题；

获取超级权限的过程，就是切换普通用户身份到超级用户身份的过程；这个过程主要是通过su和sudo 来解决；

三、使用 su 命令临时切换用户身份；

 

1、su 的适用条件和威力

su命令就是切换用户的工具，怎么理解呢？比如我们以普通用户beinan登录的，但要添加用户任务，执行useradd ，beinan用户没有这个权限，而这个权限恰恰由root所拥有。解决办法无法有两个，一是退出beinan用户，重新以root用户登录，但这种办法 并不是最好的；二是我们没有必要退出beinan用户，可以用su来切换到root下进行添加用户的工作，等任务完成后再退出root。我们可以看到当然 通过su 切换是一种比较好的办法；

通过su可以在用户之间切换，如果超级权限用户root向普通或虚拟用户切换不需要密码，什么是权力？这就是！而普通用户切换到其它任何用户都需要密码验证；

2、su 的用法：

su [OPTION选项参数] [用户]

-, -l, –login 登录并改变到所切换的用户环境；
-c, –commmand=COMMAND 执行一个命令，然后退出所切换到的用户环境；

至于更详细的，请参看man su ；

3、su 的范例：

su 在不加任何参数，默认为切换到root用户，但没有转到root用户家目录下，也就是说这时虽然是切换为root用户了，但并没有改变root登录环境；用户默认的登录环境，可以在/etc/passwd 中查得到，包括家目录，SHELL定义等；

[beinan@localhost ~]$ su
Password:
[root@localhost beinan]# pwd
/home/beinan

su 加参数 – ，表示默认切换到root用户，并且改变到root用户的环境；

[beinan@localhost ~]$ pwd
/home/beinan
[beinan@localhost ~]$ su -
Password:
[root@localhost ~]# pwd
/root

su 参数 – 用户名

[beinan@localhost ~]$ su – root 注：这个和su – 是一样的功能；
Password:
[root@localhost ~]# pwd
/root

[beinan@localhost ~]$ su – linuxsir 注：这是切换到 linuxsir用户
Password: 注：在这里输入密码；
[linuxsir@localhost ~]$ pwd 注：查看用户当前所处的位置；
/home/linuxsir
[linuxsir@localhost ~]$ id 注：查看用户的UID和GID信息，主要是看是否切换过来了；

uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
[linuxsir@localhost ~]$

[beinan@localhost ~]$ su – -c ls 注：这是su的参数组合，表示切换