su命令 sudo命令 限制root远程登录

terte

                                                一、su命令
su：用于切换当前用户身份到其他用户身份,变更时须输入所要变更的用户帐号与密码。
1、su username:切换到指定用户下，但是不加载配置文件和环境变量
例：
[iyunv@linux-01 ~]# su hll
2、su - username:切换到指定用户下，加载配置文件和环境变量
例：
[iyunv@linux-01 ~]# su - hll
Last login: Sat Apr  7 16:18:38 CST 2018 on pts/0
[hll@linux-01 ~]$
3、su - -c "touch /tmp/hll.123" hll      //在root用户下创建一个hll普通用户的文件
例：
[iyunv@linux-01 ~]# su - -c "touch /tmp/hll.123" hll
[iyunv@linux-01 ~]# ls -lt /tmp/ |head
total 8
-rw-rw-r--. 1 hll   hll   0 Apr  7 16:09 hll.123            //可以看到执行成功
[iyunv@linux-01 ~]# id hll
uid=1001(hll) gid=1002(hll) groups=1002(hll)    //hll.123文件所属组是hll，因为用户hll所属组是hll组
扩展;
家目录下普通用户没有.bash文件时，可以复制系统模板目录/etc/skel/下的.bash文件
[iyunv@linux-01 ~]# ls -la /etc/skel/
total 24
drwxr-xr-x.  2 root root   62 Mar 25 23:54 .
drwxr-xr-x. 76 root root 8192 Apr  7 15:35 ..
-rw-r--r--.  1 root root   18 Aug  3  2017 .bash_logout
-rw-r--r--.  1 root root  193 Aug  3  2017 .bash_profile
-rw-r--r--.  1 root root  231 Aug  3  2017 .bashrc
[iyunv@linux-01 ~]# cp /etc/skel/.bash /home/user1     //将/etc/skel/.bash 文件复制到/home/user1目录下
[iyunv@linux-01 ~]# chown -R user1:user1 !$     //!$表示上一条命令的最后一个参数
二、sudo命令
sudo命令：可以让普通用户临时拥有root用户的权限
[iyunv@linux-01 ~]# visudo        //使用visudo命令可以在配置文件中管理普通用户的权限
visudo: /etc/sudoers.tmp unchanged     //其实修改的就是/etc/sudoers.tmp文件
在配置文件中的第92行下添加普通用户的权限：
92 root    ALL=(ALL)       ALL     //=左边的ALL是主机，=右边的ALL指用户，最后的ALL指所有命令
93 hll       ALL=(ALL)       /usr/bin/ls, /usr//bin/mv, /usr/bin/cat       //让hll用户拥有root身份去执行ls mv cat的命令
NOPASSWD普通用户使用自身权限内的命令不需要再输入密码：
hll     ALL=(ALL)      NOPASSWD: /usr/bin/ls, /usr//bin/mv, /usr/bin/cat
为普通用户添加别名命令，在第27行下面模仿27行添加一行：
26 ## Networking
27 # Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
28 Cmnd_Alias HLL_CMD = /usr/bin/ls, /usr/bin/mv, /usr/bin/cat       //HLL_CMD就代表了ls mv cat三条命令，相等于是这三条命令的别名
那么配置文件的第93行命令就可以写成：
93 hll       ALL=(ALL)       HLL_CMD      //最后的执行效果和之前写命令的绝对路径是一样的
三、限制root远程登录
使用visudo命令在/etc/sudoers.tmp配置文件中第20行下添加User_Alias
20 # User_Alias ADMINS = jsmith, mikem
21 User_Alias HLLS = hll, user1, user2     //给hll  user1  user2用户添加用户别名HLLS
在hll     ALL=(ALL)      NOPASSWD: /usr/bin/ls, /usr//bin/mv, /usr/bin/cat下添加一行：
root    ALL=(ALL)       ALL
hll       ALL=(ALL)       NOPASSWD: /usr/bin/ls, /usr//bin/mv, /usr/bin/cat
HLLS  ALL=(ALL)       NOPASSWD: /usr/bin/su        //添加这一行之后普通用户可以登录root
例：
[user1@linux-01 ~]$ sudo su -               //使用普通用户user1登录root
Last login: Sat Apr  7 15:36:31 CST 2018 from 192.168.238.1 on pts/0
[iyunv@linux-01 ~]# whoami
root
限制root用户远程登录：
修改配置文件 vi /etc/ssh/sshd_config
将第38行 #PermitRootLogin yes 修改为 PermitRootLogin no  (注意要去掉前面的注释)
修改完配置文件之后重启sshd.service服务：
[iyunv@linux-01 ~]# systemctl restart sshd.service