centos root shadow centos7下载地址

centos把root用户不小心kill了怎么办

首先，一般用过或者非管理员用户是没有权限kill root的进程的。

如果是管理员做的操作，只需要再次重启一下服务器即可，root用户不会受到影响，只是进程需要重新开启或者挂起。

如果不单单是kill root，而是root给改名或者串改了其他管理员信息，则系统重启之后是无法正常使用的。这类情况就需要进去grub修改了，这里举列centos系统。

1、启动的时候，在启动界面，相应启动项，内核名称上按“e”；

2、进入后，找到linux16开头的地方，按“end”键到最后，输入rd.break，按ctrl+x进入；

3、进去后输入命令mount，发现根为/sysroot/，并且不能写，只有ro=readonly权限；

4、mount-o remount,rw/sysroot/，重新挂载，之后mount，发现有了r,w权限；

5、chroot/sysroot/改变根；

（1）echo redhat|passwd–stdin root修改root密码为redhat，或者输入passwd，交互修改；

（2）还有就是先cp一份，然后修改/etc/shadow文件

6、touch/.autorelabel这句是为了selinux生效

7、ctrl+d退出

8、然后reboot

CentOS系统管理_用户和用户组的详解

一：新建用户和用户组：useradd和groupadd

1，useradd的参数：

-u：指定UID标记号

-d：指定宿主目录，缺省为/home/用户名

-e：指定账号失效时间（下面usermod也有此选项）

-g：指定所属的基本组（组名或GID）

-G：指定所属的附加组（组名或GID）

-M：不为用户建立并初始化宿主目录、

-s：指定用户的登录shell（默认为/bin/bash，一般不用改，在建立非登录用户的时候可以指定

为/sbin/nologin）

注：这些参数都能分开用，不冲突的可以在建立用户的时候连着用。

示例1：添加用户stu01，指定UID为520，宿主目录为/public/stu01，指定基本组为users（注：系统中本身就

存在users这个组GID为100），附加组为tech：

[root@localhost~]#useradd-u520-d/public/stu04-gusers-Gtechstu01

[root@localhost~]#idstu01

uid=520(stu01)gid=100(users)groups=100(users),200(tech)

示例2：添加用户stu02，不为用户建立宿主目录：

[root@localhost~]#useradd-M-s/sbin/nologinstu02//创建一个非登录用户stu02

[root@localhost~]#cat/etc/passwd|grepstu02

stu02:x:1001:1001::/home/stu02:/sbin/nologin//-s参数指定bashshell

2,groupadd的参数：

gourpadd[-gGID]组名

-g参数指定了新建用户组的GID

[root@localhost~]#groupadd-g600stu//添加一个组stu，指定其GID为600

[root@localhost~]#cat/etc/group|grepstu//查看stu组的信息

stu:x:600:

二：删除用户和用户组

1，userdel

-格式：userdel[-r]用户名

添加-r选项，宿主目录/用户邮件也一并删除

示例：

[root@localhost~]#useradduser1;useradduser2//添加用户user1和user2

[root@localhost~]#ll-d/home/user1//var/mail/user1/home/user2//var/mail/user2//查看user1、user2的宿主目录和邮件文件是否存在

drwx------3user1user1409602-1809:53/home/user1/

drwx------3user2user2409602-1809:53/home/user2/

-rw-rw----1user1mail002-1809:53/var/mail/user1

-rw-rw----1user2mail002-1809:53/var/mail/user2

[root@localhost~]#userdeluser1;userdel-ruser2//加不加-r的区别

[root@localhost~]#ll-d/home/user1//var/mail/user1/home/user2//var/mail/user2

ls:/home/user2/:没有那个文件或目录//加-r之后删除宿主目录

ls:/var/mail/user2:没有那个文件或目录//加-r之后删除邮件文件

drwx------310021002409602-1809:53/home/user1/

-rw-rw----11002mail002-1809:53/var/mail/user1

[root@localhost~]#

2，groupdel：删除用户组

-格式：groupdel组名

-删除的目标组不能是用户的基本组。

-在删除用户组的时候，如果该组为某个成员的私有组，则无法删除，必须先删除组里面的成员，才能成功删除该组。

[root@localhost~]#iduser1//查看user1的基本组和附加组

uid=1002(user1)gid=1002(user1)groups=1002(user1),600(stu)

[root@localhost~]#grepstu/etc/group

stu:x:600:user1,user2

上面的操作可以看到，user1的基本组为user1，附加组为stu，那么现在只能删除stu，而不能直接删除组user1，因为user1组是一个基本组，要想删除user1，必须先删除user1用户，再删除user1组，而stu组不是一个基本组，只是user1和user2的附加组，所以可以直接删除。

[root@localhost~]#groupdeluser1//尝试删除user1用户组，因为user1组为user1的基本组，所以需要先删除user1用户，才能删除user1组。

groupdel：不能删除用户的主组。

[root@localhost~]#groupdelstu

[root@localhost~]#grepstu/etc/group//删除stu组之后，不能看到/etc/group文件里面的stu组的信息了。

三：为用户和用户组添加密码

1，为用户添加密码：

Passwd命令：

选项有：

-d：清空用户的密码，使之无需密码即可登录

-l：锁定用户账号

-S：查看用户账号的状态（是否被锁定）

-u：解锁用户账号

--stdin：标准输入（比如管道）取密码

注：删除密码用passwdd而不能用echo|passwd--stdin用户名

示例：

[root@localhosthome]#cat/etc/shadow|grepuser3//查看user3是否有密码

user3:$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::

[root@localhosthome]#passwd-duser3//使用-d选项删除密码

Removingpasswordforuseruser3.

passwd:Success

[root@localhosthome]#cat/etc/shadow|grepuser3//再次查看，密码取消

user3::16119:0:99999:7:::

[root@localhosthome]#

示例：

如果修改一个用户的密码，可以直接输入passwd用户名，然后进入交互式的密码输入去人，使用--stdin使用非交互式设置密码，直接将密码导入。

[root@localhost/]#echo123|passwd--stdinuser3//设置user3的密码为123，使用--stdin为面交互式导入密码

Changingpasswordforuseruser3.

passwd:allauthenticationtokensupdatedsuccessfully.

[root@localhost/]#passwd-luser3//锁定user3账户

Lockingpasswordforuseruser3.

passwd:Success

[root@localhost/]#grepuser3/etc/shadow//查看锁定账户密码信息，有两个！

user3:!!$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::

[root@localhost/]#passwd-Suser3//用-S查看是否被锁定

user3LK2014-02-180999997-1(Passwordlocked.)

[root@localhost/]#passwd-uuser3//-u参数为解锁

Unlockingpasswordforuseruser3.

passwd:Success.

[root@localhost/]#grepuser3/etc/shadow//解锁之后，该账户密码段没有！

user3:$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::

[root@localhost/]#

2，用户组的密码gpasswd

gpasswd组名：进入交互式的密码输入确认。

gpasswdr组名：-r选项为移除密码，gpasswdr组名为清空该组密码

组密码的用途：主要是一些用户想要加入组，那么需要用到的这个组账户的密码，而这个用户加入的时候也是临时加入的，用exit即可退出该组。

四：用户组成员的添加和删除

1，gpasswd在用户组中的应用

-A：定义组管理员列表（可以在/etc/gshadow文件里查看组管理员和组成员）

-a：添加组成员，每次只能加一个

-d：删除组成员，每次只能删一个

-M：定义组成员列表，可设置多个（为覆盖操作，在定义之后，之前组内用户将被删除;注意在写多个成员列表的时候，用逗号隔开）

示例：

[root@localhost~]#grepuser/etc/gshadow

user:!::

[root@localhost~]#gpasswd-auser1user//将账户user1加入到user组中

正在将用户user1加入到user组中

[root@localhost~]#gpasswd-auser2user//将user2加入到user组中

正在将用户user2加入到user组中

[root@localhost~]#grepuser/etc/gshadow|tail-1//查看user用户组的成员

user:!::user1,user2

[root@localhost~]#gpasswd-Mstu01,stu02user//-M参数覆盖添加多个用户

[root@localhost~]#cat/etc/gshadow|tail-1//再次查看，user1和user2被覆盖

user:!::stu01,stu02

[root@localhost~]#gpasswd-dstu01user//将stu01从user组中删除

正在将用户stu01从user组中删除

[root@localhost~]#cat/etc/gshadow|tail-1

user:!::stu02//删除后只剩下stu02用户

[root@localhost~]#gpasswd-Astu02user//将stu02设置为管理员

[root@localhost~]#grepuser/etc/gshadow|tail-1

user:!:stu02:stu02//gshadow文件中，第三个字段为该组的管理员账户，为stu02

[root@localhost~]#

2，usermod主要是对用户的属性进行更改，可以增加用户成员的所属附加组

只是用usermod的-a-G选项（-a表示添加，-G指定组，-a-G为新加一个附加组）

命令：usermod-a-G用户组用户名

[root@localhost~]#usermod-a-Gtechstu02//为stu02增加一个附加组tech

[root@localhost~]#idstu02

uid=501(stu02)gid=1201(nsd)groups=1201(nsd),200(tech),1204(user)

五：用户和组属性的查看和修改

1，usermod：主要针对用户与组之间属性的更改

格式：usermod[选项](选项可以有多个）用户名

-l：更改用户账号的登录名称

-L：锁定用户账户(注：用usermodL锁定一个账户的时候可以用passwdu直接解锁，但是用passwdl锁定的账户，用usermodU解锁的时间，需要解锁两次，因为，passwdl锁定的账户密码前面有两个！，而usermodL锁定的账号密码前面有一个！，可以通过查看/etc/gshadow文件里面的密码段来验证。)

-U：解锁用户账户

-u、-d、-e、-g、-G、-s：与useradd相同

-a：和-G搭配使用为添加该用户的附加组（只是用-G的时候，为修改附加组）

示例：

usermod-e20140630(或2014-06-30)user1：为修改user1账户失效时间为20140630

但是在用chage-E2014-06-30user1的时候，不能用20140630

[root@localhost~]#cat/etc/shadow|grepuser1

user1:!!:16119:0:99999:7:::

[root@localhost~]#usermod-e20140630user1//修改user1的账户失效时间

[root@localhost~]#cat/etc/shadow|grepuser1

user1:!!:16119:0:99999:7::16251:

[root@localhost~]#usermod-luser01user1//修改user1的登录名为user01

usermod：警告：/var/spool/mail/user1不属于user1

[root@localhost~]#

2，chage：主要针对用户的密码进行设定

-l：列出密码有效信息

-E：指定账户过期时间，YYYY-MM-DD

-I：指定当密码失效后多少天锁定账号

-m：指定密码的最小天数

-M：指定密码的最大天数

示例：

[root@localhost~]#chage-luser01//查看user01的密码信息

最近一次密码修改时间：2月18,2014

密码过期时间：从不

密码失效时间：从不

帐户过期时间：从不

两次改变密码之间相距的最小天数：0

两次改变密码之间相距的最大天数：99999

在密码过期之前警告的天数：7

[root@localhost~]#cat/etc/shadow|grepuser01

user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:0:99999:7:::

[root@localhost~]#chage-E2014-07-10user01//修改user01的账户过期时间

[root@localhost~]#chage-I3user01//修改user01用户的密码失效3天后锁定

[root@localhost~]#chage-m10user01//密码修改之后10天内不准修改

[root@localhost~]#chage-M40user01//密码修改后40天之后必须再次修改密码

[root@localhost~]#cat/etc/shadow|grepuser01

user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16261:

[root@localhost~]#chage-luser01

最近一次密码修改时间：2月18,2014

密码过期时间：3月30,2014

密码失效时间：4月02,2014

帐户过期时间：7月10,2014

两次改变密码之间相距的最小天数：10

两次改变密码之间相距的最大天数：40

在密码过期之前警告的天数：7

[root@localhost~]#

3，id

-在命令行输入id，为查看该账户的用户名及用户所属组等信息；

[root@localhost~]#su-frank

[frank@localhost~]$id//id命令直接查看当前用户的ID和所属组

uid=507(frank)gid=507(frank)groups=507(frank)

-id用户名：表示查看该用户的相关信息

[root@localhost~]#idfrank//查看frank用户的用户ID和所属组

uid=507(frank)gid=507(frank)groups=507(frank)

[root@localhost~]#iduser01//查看user01的用户ID和所属组

uid=1005(user01)gid=1005(user1)groups=1005(user1)

[root@localhost~]#

-idgn：查看当前用户的所属组

[root@localhost~]#su-frank

[frank@localhost~]$id-gn//查看当前所属组，为frank组，下面修改一下

frank

[frank@localhost~]$exit

logout

[root@localhost~]#usermod-gtechfrank//将frank的基本组修改为tech

[root@localhost~]#su-frank

[frank@localhost~]$id-gn//用id-gn查看当前组

tech

[frank@localhost~]$

4，newgrp

newgrp用户组：为当前用户临时增加一个用户的附加组（可以用exit退出该附加组）

示例：

[root@localhost~]#su-frank

[frank@localhost~]$id

uid=507(frank)gid=200(tech)groups=200(tech)

[frank@localhost~]$newgrpuser

密码：//这个密码为用gpasswd来设置的用户组密码，当有新用户加入是，需要输入，如果没有密码，直接确定即可加入

[frank@localhost~]$id-gn

user//用户组为user，未修改之前为tech

[frank@localhost~]$id

uid=507(frank)gid=1204(user)groups=200(tech),1204(user)

[frank@localhost~]$exit//只是临时增加的附加组，可以用exit退出该组

exit

[frank@localhost~]$id

uid=507(frank)gid=200(tech)groups=200(tech)

[frank@localhost~]$id-gn

tech//退出后的用户组还未之前的tech

[frank@localhost~]$

5，groups：查看用户所属组

groups：查看当前用户的所属组（包括基本组和附加组）

groups用户名：查看该用户所属组（包括基本组和附加组，前面的为基本组）

注：也可以查看/etc/group和/etc/gshadow文件的第四段。

[root@localhost~]#groups//查看当前用户的所属组

rootbindaemonsysadmdiskwheel

[root@localhost~]#groupsuser2//查看user2用户的所属组

user2:user2tech//那么user2用户的基本组为user2，有一个附加组，为tech

[root@localhost~]#

六，附：用户和用户组的密码及新建用户宿主目录里面的隐藏文件

1，用户的密码：/etc/passwd和/etc/shadow

/etc/passwd文件：保存了用户账号的基本信息

[root@localhost~]#head-1/etc/passwd

root:x:0:0:root:/root:/bin/bash

1234567

可以看到passwd里面的内容分为7个字段，分别用：隔开，每个字段的含义：

第一段：用户账号的名称

注：可使用user-luser1user01修改

第二段：密码字符或占位符

注：加密后的密码保存在/etc/shadow文件中

第三段：用户账号的UID号

注：在建立的时候用useradd-u来指定UID号

第四段：所属基本组的GID号

注：在新建用户的时候，如果不指定基本组，会默认新建一个和用户同名的组，可以使用useradd-gusers/100来指定新建用户组的GID

第五段：用户全名

第六段：宿主目录

注：在新建用户的时间，用useradd-d来指定

第七段：登录shell程序的路径

注：在新建用户时候使用useradd-s来指定，也可以在后来使用usermod-s来指定

/etc/shadow文件：保存了密码字串，有效期等信息

[root@localhost/]#head-1/etc/shadow

root:$1$SmlKPNho$qNqybQOGBSnK6iWmviI6b1:15908:0:99999:7:::

123456789

第一段：用户账号的名称

第二段：加密后的密码字符串

注：在使用passwd-l锁定之后加两个!，用usermod-L锁定之后该字符串前面加一个!

第三段：上次修改密码的时间

第四段：密码的最短有效天数，默认为0

注：也就是在上次修改密码后多少天之内不准修改密码，可以使用chage-m来修改

第五段：密码的最长有效天数

注：也就是说，密码在到达有效天数之后，必须进行修改，可以使用chage-M修改

第六段：密码过期后的警告天数，默认为7

注：在密码最长有效天数的前7天进行提醒

第七段：密码过期后多少天禁用此账户，默认值为空

注：如果密码过期之后，也就是密码最长有效时间到了之后，用户还可以继续使用该账号，如果还不修改密码，那么，这个时间将起作用，该用户将被禁用。可以使用chage-I来修改

第八段：账号失效时间，默认值为空

可以使用chage-E或者usermod-e来修改账号的失效时间

例如：

[root@localhosthome]#chage-luser01

最近一次密码修改时间：2月18,2014

密码过期时间：3月30,2014

密码失效时间：4月02,2014

帐户过期时间：7月10,2014

两次改变密码之间相距的最小天数：10

两次改变密码之间相距的最大天数：40

在密码过期之前警告的天数：7

[root@localhost~]#cat/etc/shadow|grepuser01

user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16261:

[root@localhost~]#usermod-e20140810user01//或chage-E20140810user01

[root@localhost~]#cat/etc/shadow|grepuser01

user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16292:

[root@localhost~]#chage-luser01

最近一次密码修改时间：2月18,2014

密码过期时间：3月30,2014

密码失效时间：4月02,2014

帐户过期时间：8月10,2014

两次改变密码之间相距的最小天数：10

两次改变密码之间相距的最大天数：40

在密码过期之前警告的天数：7

第九段：该字段保留

2，新建一个用户时候的默认配置/etc/login.defs、/etc/useradd和/etc/skel

[root@localhost~]#grep-vE^#|^$/etc/login.defs

MAIL_DIR/var/spool/mail//定义邮件文件路径

PASS_MAX_DAYS99999//定义密码最长有效天数，/etc/shadow第五段

PASS_MIN_DAYS0//密码最短有效天数为0，/etc/shadow的第四段

PASS_MIN_LEN5//密码最小长度为5，这里不起作用，有其他文件来规定

PASS_WARN_AGE7//密码过期后的警告天数

UID_MIN500//UID的起始值,/etc/passwd中的第三段

UID_MAX60000//UID的最大值,/etc/passwd中的第三段

GID_MIN500//GID的起始值,/etc/passwd中的第四段

GID_MAX60000//GID的最大值,/etc/passwd中的第四段

CREATE_HOMEyes//是否创建宿主目录

UMASK077//umask值为077

USERGROUPS_ENAByes//

MD5_CRYPT_ENAByes//密码使用MD5加密

ENCRYPT_METHODMD5//

[root@localhost~]#cat/etc/default/useradd

#useradddefaultsfile

GROUP=100//

HOME=/home//定义创建用户的宿主目录在/home下

INACTIVE=-1//是否启用该账户，-1代表是

EXPIRE=//

SHELL=/bin/bash//指定新建用户的shell为/bin/bash

SKEL=/etc/skel//新建用户的宿主目录模板为/etc/skel

CREATE_MAIL_SPOOL=yes//是否创建用户的邮件文件

[root@localhost~]#ll-a/etc/skel///在新建一个用户的时候，宿主目录里面的内容就是将skel拷贝过去，然后放到/home目录下并改名为新建的用户名

总计64

drwxr-xr-x3rootroot40962013-07-10.

drwxr-xr-x97rootroot1228802-1816:24..

-rw-r--r--1rootroot332011-05-13.bash_logout

-rw-r--r--1rootroot1762011-05-13.bash_profile

-rw-r--r--1rootroot1242011-05-13.bashrc

-rw-r--r--1rootroot5152011-04-07.emacs

drwxr-xr-x4rootroot40962012-11-16.mozilla

3，全局配置文件~/.bash_profile、~/.bashrc和~/.bash_logout

注：可以在用户的宿主目录下使用ls-a查看。

~/.bash_profile：每次登录时执行

~/.bashrc：每次进入新的Bash环境时执行

~/.bash_logout：每次推出登录时执行

4，查看用户组信息：/etc/group和/etc/gpasswd

/etc/group查看用户组的信息

[root@localhost~]#cat/etc/group|tail-1

user:x:1204:user01,user2

第一段：组名

第二段：密码占位符

第三段：GID

第四段：组内成员（使用gpasswd-a添加，gpasswd-d删除，gpasswd-M覆盖添加多个）

[root@localhost~]#cat/etc/gshadow|tail-1

user:$1$u/W2qj.L$W8GJY5HxyLzphdtgLKpxW0:stu02:user01,user2

第一段：组名

第二段：密码（使用gpasswd来设置）

第三段：组管理员（使用gpasswd-A指定）

第四段：组内成员

总结：

学的时间也不短了，总是想找个时间将用户组这一章好好的做下笔记，这下好了，终于弄完了，哈哈

用户和用户组的管理这一章很绕口，理解也还算容易，命令不多，但是选项很多，一个题可能有好几种做法，比如说usermod-a-gtechuser01和gpasswd-auser01tech，虽然都是讲user01用户加入到tech组中，但是还有那么的不同，唉，慢慢搞吧！

centos root权限执行命令和sudo有没有区别

一.使用 su命令临时切换用户身份

1、su的适用条件和威力

su命令就是切换用户的工具，怎么理解呢？比如我们以普通用户beinan登录的，但要添加用户任务，执行useradd，beinan用户没有这个权限，而这个权限恰恰由root所拥有。解决办法无法有两个，一是退出beinan用户，重新以root用户登录，但这种办法并不是最好的；二是我们没有必要退出beinan用户，可以用su来切换到root下进行添加用户的工作，等任务完成后再退出root。我们可以看到当然通过su切换是一种比较好的办法；

通过su可以在用户之间切换，如果超级权限用户root向普通或虚拟用户切换不需要密码，什么是权力？这就是！而普通用户切换到其它任何用户都需要密码验证；

2、su的用法：

su [OPTION选项参数] [用户]

-,-l,——login登录并改变到所切换的用户环境；

-c,——commmand=COMMAND执行一个命令，然后退出所切换到的用户环境；

至于更详细的，请参看man su；

3、su的范例：

1) su在不加任何参数

默认为切换到root用户，但没有转到root用户家目录下，也就是说这时虽然是切换为root用户了，但并没有改变root登录环境；用户默认的登录环境，可以在/etc/passwd中查得到，包括家目录，SHELL定义等；

[beinan@localhost~]?$ su root

Password:

[root@localhost beinan]# pwd

/home/beinan

2) su加参数-

表示默认切换到root用户，并且改变到root用户的环境；

[beinan@localhost~]$ pwd

/home/beinan

[beinan@localhost~]$ su-

Password:

[root@localhost~]# pwd

/root

3) su参数-用户名

[beinan@localhost~]$ su– root注：这个和su-是一样的功能；

Password:

[root@localhost~]# pwd

/root

[beinan@localhost~]$ su– linuxsir注：这是切换到 linuxsir用户

Password:注：在这里输入密码；

[linuxsir@localhost~]$ pwd注：查看用户当前所处的位置；

/home/linuxsir

[linuxsir@localhost~]$ id注：查看用户的UID和GID信息，主要是看是否切换过来了；

uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)

[linuxsir@localhost~]$ exit注：退出

logout

[beinan@localhost~]$

[beinan@localhost Desktop]$ su--c ls注：这是su的参数组合，表示切换到root用户，并且改变到root环境，然后列出root家目录的文件，然后退出root用户；

Password:注：在这里输入root的密码；

anaconda-ks.cfg install.log.syslog mydate1 mytask.sh Videos注：列出root家目录的文件；

Desktop jdk mydate2 Pictures workspace

Documents jdk-6u13-linux-i586.bin mydate3 Public Workspaces

Downloads Linux mydate4 software

install.log Music MyEclipse 2015 Templates

[beinan@localhost Desktop]$注：自动退出root用户；

[beinan@localhost Desktop]$ pwd

/home/beinan/Desktop

[beinan@localhost Desktop]$ id注：查看是否切换成功；

uid=506(beinan) gid=506(beinan) groups=506(beinan) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[beinan@localhost Desktop]$

4、su的优缺点；

su的确为管理带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他都能切换到root来完成所有的系统管理工作；但通过su切换到root后，也有不安全因素；比如系统有10个用户，而且都参与管理。如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root权限密码都告诉这10个用户；如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协；想想Windows吧，简直就是恶梦；“没有不安全的系统，只有不安全的人”，我们绝对不能保证这 10个用户都能按正常操作流程来管理系统，其中任何一人对系统操作的重大失误，都可能导致系统崩溃或数据损失；所以su工具在多人参与的系统管理中，并不是最好的选择，su只适用于一两个人参与管理的系统，毕竟su并不能让普通用户受限的使用；超级用户root密码应该掌握在少数用户手中，这绝对是真理！所以集权而治的存在还是有一定道理的；

二. sudo授权许可使用的su，也是受限制的su

1. sudo的适用条件

由于su对切换到超级权限用户root后，权限的无限制性，所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到 sudo。

通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo相对于权限无限制性的su来说，还是比较安全的，所以sudo也能被称为受限制的su；另外sudo是需要授权许可的，所以也被称为授权许可的su；

2. sudo执行命令的流程

1）给用户授权

当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权；

比如我们想用beinan普通用户通过more/etc/shadow文件的内容时，可能会出现下面的情况；

[beinan@localhost~]$ more/etc/shadow/etc/shadow

/etc/shadow: Permission denied注：权限不够

[beinan@localhost~]$

这时我们可以用sudo more/etc/shadow来读取文件的内容；就就需要在/etc/soduers中给beinan授权；于是我们就可以先su到root用户下通过visudo来改/etc/sudoers；（比如我们是以beinan用户登录系统的）

[beinan@localhost~]$ su

Password:注：在这里输入root密码

[root@localhost beinan]# visudo注：运行visudo来改/etc/sudoers

加入如下一行 beinan ALL=/bin/more，退出保存；

注：visudo也是用的vi编辑器；beinan ALL=/bin/more表示beinan可以切换到root下执行more来查看文件；退回到beinan用户下，用exit命令；

[root@localhost beinan]# exit

exit

[beinan@localhost~]$

2）beinan用户执行root下的权限，查看beinan的通过sudo能执行哪些命令

[beinan@localhost~]?$ sudo-l

Password:注：在这里输入beinan用户的密码

User beinan may run the following commands on this host:

(root)/bin/more注：在这里清晰的说明在本台主机上，beinan用户可以以root权限运行more；在root权限下的more，可以查看任何文本文件的内容的；

最后，我们看看是不是beinan用户有能力看到/etc/shadow文件的内容；

[beinan@localhost~]$ sudo more/etc/shadow

root:$1$mKOQVMQ8$kg3pR0NI4XBgX8KTk4OJI/:16541:0:99999:7:::

bin:*:15980:0:99999:7:::

daemon:*:15980:0:99999:7:::

adm:*:15980:0:99999:7:::

lp:*:15980:0:99999:7:::

sync:*:15980:0:99999:7:::

shutdown:*:15980:0:99999:7:::

halt:*:15980:0:99999:7:::

mail:*:15980:0:99999:7:::

beinan不但能看到/etc/shadow文件的内容，还能看到只有root权限下才能看到的其它文件的内容，比如；

[beinan@localhost~]$ sudo more/etc/gshadow

[sudo] password for beinan:

root:::

bin:::bin,daemon

daemon:::bin,daemon

sys:::bin,adm

adm:::adm,daemon

tty:::

disk:::

lp:::daemon

mem:::

kmem:::

wheel:::

mail:::mail,postfix

uucp:::

对于beinan用户查看和读取所有系统文件中，我只想把/etc/shadow的内容可以让他查看；可以加入下面的一行；

beinan ALL=/bin/more/etc/shadow

题外话：有的弟兄会说，我通过su切换到root用户就能看到所有想看的内容了，哈哈，对啊。但咱们现在不是在讲述sudo的用法吗？如果主机上有多个用户并且不知道root用户的密码，但又想查看某些他们看不到的文件，这时就需要管理员授权了；这就是sudo的好处；

3）用户组在/etc/sudoers中写法

如果用户组出现在/etc/sudoers中，前面要加%号，比如%beinan，中间不能有空格；%beinan ALL=/usr/sbin/*,/sbin/*

如果我们在/etc/sudoers中加上如上一行，表示beinan用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令；

4）取消某类程序的执行

取消程序某类程序的执行，要在命令动作前面加上!号；在本例中也出现了通配符的*的用法；

beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk注：把这行规则加入到/etc/sudoers中；但您得有beinan这个用户组，并且beinan也是这个组中的才行；

本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk程序除外；

[beinan@localhost~]$ sudo-l

Password:注：在这里输入beinan用户的密码；

User beinan may run the following commands on this host:

(root)/usr/sbin/*(root)/sbin/*(root)!/sbin/fdisk

[beinan@localhost~]$ sudo/sbin/fdisk–l

Sorry, user beinan is not allowed to execute'/sbin/fdisk-l' as root on localhost.

注：不能切换到root用户下运行fdisk程序；

如果有sudo的权限而没有su的权限: sudo su;