在Linux系統中,有兩個概念可能大家比較熟悉,一個是sudo指令,另一個是root帳號。 sudo指令可以讓我們以最高權限執行指令,而在root帳號下,所有指令都具有最高權限,相當於所有指令都預設加了sudo。
#那麼,sudo和root之間的差別到底是什麼呢?為什麼我們建議使用sudo而不是直接使用root帳號?在本教程中,您將學習到有關root存取、sudo命令、如何使用sudo運行命令以及sudo存取和root之間的區別。
root 是指 Linux 等類 Unix 系統中的超級使用者帳號。它是用於系統管理的系統上具有最高存取權限的特權帳戶。此根/超級使用者帳戶的使用者識別碼 (UID) 為零,無論帳戶名稱為何。
root 使用者擁有整個系統的完全權限(root 特權)。它可以做諸如修改系統的核心部分、升級系統、更改系統配置以及啟動、停止和重新啟動所有正在運行的系統服務之類的事情。
以 root 身分登入(使用 su -)時,終端命令提示字元符號從
$ echo 'You are in a normal shell'
變成
# echo 'This is a root shell'
在某些系統(如 Ubuntu)上,root 使用者預設被鎖定。 (備註:搬運工並不會鎖定,但騰訊雲預設會鎖定)。
sudo (superuser do) 命令是一個命令列實用程式,它允許使用者以 root 或其他使用者身分執行命令。它提供了一種有效的方式來授予某些使用者適當的權限以使用特定的系統命令或以 root 使用者身分執行腳本。
雖然有點類似 su 指令,但 sudo 的不同之處在於它預設需要使用者的密碼進行身份驗證,而不是 su 需要的目標使用者的密碼。 Sudo 也不會產生 root shell;相反,它以提升的權限運行程式或命令,不像 su,它產生一個 root shell。
使用 sudo,系統管理員可以執行以下操作:
Sudo 會記錄在 /var/log/auth.log 檔案中執行的所有指令和參數的日誌,可以在發生故障時進行分析。
#sudo 使用預設的 sudoers 安全性策略,並保留一個特殊的設定檔 /etc/sudoers。此文件可用於控制存取權限和密碼提示逾時。
注意:您必須具有提升的權限才能查看 sudoers 檔案
開啟 /etc/sudoers 檔案;它應該是這樣的:
# This file MUST be edited with the 'visudo' command as root. # # Please consider adding local content in /etc/sudoers.d/ instead of # directly modifying this file. # # See the man page for details on how to write a sudoers file. # Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/ sbin:/bin" # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL:ALL) ALL # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL # See sudoers(5) for more information on "@include" directives: @includedir /etc/sudoers.d
其中這行:
root ALL=(ALL:ALL)ALL
意味著 root 使用者擁有無限的權限並且能夠在系統上執行任何命令。
%sudo ALL=(ALL:ALL)ALL
允許群組 sudo 的所有成員執行任何命令。
注意:sudoers 檔案中的 ‘%’ 代表一個群組,而不是註解。
從 /etc/sudoers 檔案的第一行可以看出:
# This file MUST be edited with the 'visudo' command as root
不要嘗試直接編輯 sudoers 檔案。使用具有 root 權限的 visudo 指令。
使用 sudo 運行指令很簡單,只需要在指令前面加上 sudo 即可:
$ sudo command
一般來說會提示輸入密碼,輸入密碼後回車即可。
$ sudo command [sudo] password for user:
最小权限原则是一种信息和计算机安全概念,它认为授予程序和用户执行任务所需的最少或最低限度的权限。
以 root 用户登录后,输入到终端的每一条命令都以系统最高权限运行,违反了最小权限原则。像 rm 这样的简单命令可用于删除核心根目录或文件,而不会在意外时提示用户。例如,如果您尝试使用以下命令删除 /etc 之类的根目录:
$ rm -rf /etc
当您以普通用户身份登录时,您将被拒绝许可。当以 root 身份登录时,不会显示任何提示,并且整个文件夹将被删除 – 这很可能会破坏您的系统,因为运行系统所需的特殊配置文件存储在 /etc 目录中。您也可能最终错误地格式化磁盘,并且系统不会提示您。
此缺陷还扩展到以 root 身份运行代码或应用程序;应用程序中的一个小错误可能会删除一些系统文件,因为该应用程序是在最高权限下运行的。
Sudo 提供细粒度的访问控制。它仅向需要它的特定程序授予提升的权限。您知道哪个程序以提升的权限运行,而不是使用 root shell(以 root 权限运行每个命令)。
Sudo 也可以配置为以另一个用户身份运行命令,指定允许哪些用户和组使用 sudo 运行命令,或者通过编辑 sudoers 文件设置以 root 权限运行程序的超时。
因此,不建议使用 root shell 运行命令,因为您破坏系统的机会要高得多。如果您需要更高权限或 root 权限来运行命令,请使用 sudo 确保只有该命令以 root 权限运行。
以上是Linux 中 root 與 sudo 的用法與差別,居然這麼多人搞不清楚!的詳細內容。更多資訊請關注PHP中文網其他相關文章!
