linux 用户执行?linux如何创建用户
Linux root用户怎么以制定的用户去执行某个程序。
可以使用 sudo命令,以指定用户身份执行程序。
如: sudo-u weblogic/home/weblogic/sbin/starup.sh
以weblogic用户身份,启动服务器。
sudo命令的常见参数
选项含义作用
sudo-h Help列出使用方法,退出。
sudo-V Version显示版本信息,并退出。
sudo-l List列出当前用户可以执行的命令。只有在sudoers里的用户才能使用该选项。
sudo-u username#uid User以指定用户的身份执行命令。后面的用户是除root以外的,可以是用户名,也可以是#uid。
sudo-k Kill清除“入场卷”上的时间,下次再使用sudo时要再输入密码。
sudo-K Sure kill与-k类似,但是它还要撕毁“入场卷”,也就是删除时间戳文件。
sudo-b command Background在后台执行指定的命令。
sudo-p prompt command Prompt可以更改询问密码的提示语,其中%u会代换为使用者帐号名称,%h会显示主机名称。非常人性化的设计。
linux切换用户命令
linux切换用户的命令是“su”。
普通用户之间切换以及普通用户切换至 root用户,都需要知晓对方的密码,只有正确输入密码,才能实现切换;从 root用户切换至其他用户,无需知晓对方密码,直接可切换成功。
su命令的基本格式:# su [选项]用户名;
选项:
-:当前用户不仅切换为指定用户的身份,同时所用的工作环境也切换为此用户的环境(包括 PATH变量、MAIL变量等),使用-选项可省略用户名,默认会切换为 root用户。
-l:同-的使用类似,也就是在切换用户身份的同时,完整切换工作环境,但后面需要添加欲切换的使用者账号。
-p:表示切换为指定用户的身份,但不改变当前的工作环境(不使用切换用户的配置文件)。
-m:和-p一样;
-c命令:仅切换用户执行一次命令,执行后自动切换回来,该选项后通常会带有要执行的命令。
su(Switch User)切换到超级管理员
使用su命令所有管理员都必须知道root账号的密码;
sudo(Switch User and DO)以超级管理员身份执行;
sudo使得普通管理员使用自己的密码也可以获得超级管理员权限;
linux常用系统命令
#查看ip地址
ip a
ip addr
# ping网络(测试网络连通)
ip目标机器的ip
#查看系统时间
date
#注销
logout
#关机
shutdown now
#重启
reboot
#清屏
clear
linux如何赋予用户sudo权限
"linux如何赋予用户sudo权限"这个问题其实问的并不准确,因为根本没有"sudo"这个权限,这个问题应该说成“Linux系统的sudo命令如何让非特权的普通用户具有了执行特权操作的权限?”下面我就来解释一下这个问题。
sudo能够赋予普通用户特权的根本原因,是一个叫set-user-ID的权限位及其所对应的运行机制带来的:"---s--x--x"中的"s"。
其实系统中还有很多带这个S位的程序,比如:
我们管这个位叫set-user-ID位,简称suid位。同样的,还有一个set-group-ID位,简称sgid位,当然suid位比较常见。
suid位一般给一个可执行程序设置,其主要作用就是“让运行带有suid位程序的进程的有效用户ID(euid)等于这个程序文件的属主ID”。这样说可能对于不了解的人有点难懂,下面我们详细说一下。
比如如果有一个文件它的属性如下:
那么比如我用userB执行这个程序,那么运行起来的进程的euid等于userA,而不等于userB。
那这有什么用呢?如果上面的userA是一个普通用户,那用处不太大,就是改变了进程的euid(还是有作用的)。但是如果上面的userA是root,那作用就很大了,因为如果一个进程的euid变成了root(0),那这个进程就获得了root的特权,因为它相当于在代替root做事(当然不是完全等同于root亲自执行,但是几乎等同了)。所以你看到sudo的属主就是root,我们习惯性管属主是root的suid位叫“suid root”位,你和行内的人一提suid root,他就能知道你在说什么。
设置SUID位
相信很多初学Linux的人都很熟悉0777这个权限,也就是rwxrwxrwx,分别表示属主、属组和其它人的读写执行权限。也经常能看到有人说给Linux系统所有文件都改成0777,是不是就无敌了。对于这样天真的孩子我只能说你将系统安全机制想的太简单了,这还只是冰山一角而已。
即使光讨论permission bits,也不止0777这么多,777上面还有更多呢。比如我们这里提到的set-user-id位就是其中一个,其定义是:
你要设置这个位,就可以写04777或者04111等。比如有一个文件的权限是0644:
那么我要给它加S位,就可以写:
我们看到这里有一个大"S",这就是set-user-id位。有人可能问了,这个S不就占了"x"的位置了吗?如果再设置上x的权限,比如04744,那会怎么样呢?答案是:
是的,S+x就变成了小"s",这个小s就是我们这个回答的重点,也就是具有执行权的程序同时具有suid位。
设置suid位的方法除了你直接写04xxx以外,用u+s这种方式也可以,比如:
这样可以方便的增加或去掉suid位。当然有set-user-id位,也有set-group-id位,不过sgid位和sudo没有关系,我们本回答不讲。
用程序说话
为了更直观的理解,我们用一个程序来说明一下suid位的作用。假设我现在的系统上有一个id是1000的用户叫test,还有一个id是1001的用户叫userA,当然还有id是0的root用户,我用test用户作为测试用户,编写并执行下面的程序(mytest.c):
这个程序编译后得到的可执行程序现在的属性是:
我用uid是1000的用户test来执行它:
接下来我们(用root用户操作)改变这个文件的属主:
再用id为1000的test用户执行:
结果进程的uid和euid还是1000(test)。
现在我(用root用户操作)给这个程序设置suid位:
再用test用户用执行:
这次我们看到进程的euid变成了1001,不再是1000了,这个1001就是userA的ID:
这就是suid位的作用,但是在程序文件的属主是普通用户的情况下,除了能获得属主相同的euid外,没有别的影响。
因为现代Linux系统已经区别于过去的Unix系统,分出了各种细节的权能(具体可man capabilities),为了能看一下当前程序的特权,我修改了一下程序,将特权信息打出来:
编译后重新将suid位设置好,属主改为userA(跟上面一样),再用test用户执行:
我们看到euid变成了1001,最后一行那个"="的意思你可以简单理解为"All=nothing",也就是什么特权都没有。这里我不想展开解释capabilities的东西,展开的话又够另一个篇章了。
现在我们将mytest的属主变成root,然后还用test用户执行:
这次我们看到进程的uid还维持是test用户的id=1000,但是euid变成了0,而且当前的特权是"=ep",也就是"ALL=ep",“ep”分别表示Effective特权集和Permitted特权集,也就是这两个特权集都是满的,这里我不展开解释Permitted, Effective和Inheritable特权集合的概念了,总之这里你可以理解为当前进程具有全部的特权。
这就是suid root的作用,让一个程序即使被普通用户执行,也可以越权。sudo程序就是借助suid root这个特性获得的特权,让普通用户可以执行特权操作。
结语:
这里说的一些概念只是Linux安全相关的冰山一角,感兴趣的可以自己去学习更多。上面之所以euid是0的进程直接就具有了全部特权,那是从古老的Unix系统至今的一种使用习惯的继承,现在的Linux系统其实可以配置成将root超级用户的特权分开分给几个具有不同用途的管理员,而取消root的使用,我们也做过这样的课题和研究,也确实能做到分权,但是目前对于普通的使用者来说将系统配成那样过于不便,所以目前的系统状态仍然是主流。但是将来系统去root化是一个研究方向和发展趋势。
关于sudo我还写过下面一个回答,感兴趣的可以看一下,并不属于技术问题。
