当前位置：首页 > article >正文

Linux中su与sudo命令的区别：权限管理的关键差异解析

article 2025/11/6 3:46:21

💝💝💝欢迎莅临我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。
推荐：「stormsha的主页」👈，「stormsha的知识库」👈持续学习，不断总结，共同进步，为了踏实，做好当下事儿~
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨

在这里插入图片描述

💖The Start💖点点关注，收藏不迷路💖

📒文章目录

- 1. 基础概念与功能定位
- - 1.1 su命令的本质：用户身份切换
  - 1.2 sudo命令的核心理念：权限委托
  - 1.3 关键区别概览
- 2. 技术实现与安全机制
- - 2.1 身份验证流程差异
  - 2.2 配置文件解析
  - - 2.2.1 su的PAM模块配置
    - 2.2.2 sudo的精细化控制
  - 2.3 环境变量处理
- 3. 典型应用场景对比
- - 3.1 何时使用su？
  - 3.2 何时使用sudo？
  - 3.3 危险用法警示
- 4. 高级技巧与替代方案
- - 4.1 组合使用技巧
  - 4.2 新兴替代工具
  - 4.3 企业级实践建议
- 5. 总结

在Linux系统中，权限管理是系统安全的核心环节。su和sudo作为最常用的权限切换工具，常被初学者混淆使用，但二者在实现机制、安全性和适用场景上存在本质区别。理解它们的差异不仅能帮助用户更高效地管理系统，还能避免因误用导致的安全风险。

1. 基础概念与功能定位

1.1 su命令的本质：用户身份切换

定义：su（Substitute User）用于切换当前用户身份
核心功能：
- 通过密码验证切换到目标用户（如su - root输入root密码）
- 保留原用户环境变量（不加-参数时）：
```
$ su root      # 继承当前Shell环境
$ su - root    # 加载root的完整环境
```
- 完全继承目标用户的权限和限制（切换后拥有该用户所有权限）

1.2 sudo命令的核心理念：权限委托

定义：sudo（Superuser Do）基于策略的临时权限提升
设计哲学：
- 最小权限原则：仅授权特定命令（如允许用户管理服务但禁止删除文件）
- 免密码切换（通过NOPASSWD配置）：
```
# /etc/sudoers配置示例
user1 ALL=(ALL) NOPASSWD: /usr/bin/systemctl
```
- 详细的日志审计功能（记录到/var/log/auth.log）：
```
Aug 1 10:00:00 host sudo: user1 : TTY=pts/0 ; COMMAND=/usr/bin/apt update
```

1.3 关键区别概览

特性	su	sudo
权限范围	完整用户权限	精确到命令级别
密码验证	目标用户密码	当前用户密码（默认）
环境隔离	可继承原环境	默认重置环境
典型应用	长期身份切换	临时特权命令执行

2. 技术实现与安全机制

2.1 身份验证流程差异

su的验证过程：

# 密码验证依赖PAM模块
$ su - user2
Password: ***  # 输入user2的密码

sudo的验证流程：

# 验证当前用户密码并检查sudoers规则
$ sudo /usr/bin/vim /etc/hosts
[sudo] password for current_user: ***

2.2 配置文件解析

2.2.1 su的PAM模块配置

/etc/pam.d/su控制访问策略：

# 仅允许admin组成员使用su
auth    required    pam_wheel.so    group=admin

2.2.2 sudo的精细化控制

/etc/sudoers语法示例：

# 允许developers组执行docker命令
%developers ALL=(root) /usr/bin/docker

安全建议：
- 使用visudo编辑（自动检查语法）
- 限制危险命令：
```
user3 ALL=(ALL) !/usr/bin/rm -rf /
```

2.3 环境变量处理

su的环境继承：

# 测试环境变量差异
$ echo $PATH
/usr/local/bin:/usr/bin
$ su root
# PATH保持不变

sudo的环境重置：

$ sudo printenv PATH
/usr/sbin:/usr/bin:/sbin:/bin  # 默认安全路径

3. 典型应用场景对比

3.1 何时使用su？

场景1：数据库管理员需要完整MySQL用户环境
```
su - mysql -s /bin/bash
```
场景2：恢复被锁定的root账户
```
# 单用户模式下强制切换
su -
```

3.2 何时使用sudo？

场景1：开发人员部署应用
```
sudo systemctl restart nginx
```

场景2：多用户服务器权限分配

# sudoers配置示例
user4 ALL=(op) /usr/bin/git pull

3.3 危险用法警示

su的典型风险：

# 错误：在自动化脚本中使用su
echo "password123" | su -c "rm -rf /tmp/*"

sudo配置漏洞：

# 危险配置：允许任意命令执行
user5 ALL=(ALL) NOPASSWD: ALL

4. 高级技巧与替代方案

4.1 组合使用技巧

审计型切换：

# 通过sudo记录su操作
sudo su - audit_user

4.2 新兴替代工具

doas基础配置：

# /etc/doas.conf
permit nopass user6 cmd /usr/bin/pacman

polkit图形授权：

<!-- 允许普通用户挂载USB -->
<action id="org.freedesktop.udisks2.filesystem-mount"><defaults><allow_any>yes</allow_any></defaults>
</action>

4.3 企业级实践建议

关键安全措施：

禁用root远程登录：

# /etc/ssh/sshd_config
PermitRootLogin no

sudo会话超时设置：
```
Defaults    timestamp_timeout=5
```

5. 总结

决策流程图：

┌─────────────┐    ┌─────────────┐
│ 需要完整环境 │ →  │     su      │
└─────────────┘    └─────────────┘
┌─────────────┐    ┌─────────────┐
│ 临时命令执行 │ →  │    sudo     │
└─────────────┘    └─────────────┘

终极安全准则：
1. 禁止共享root密码
2. sudoers配置遵循最小权限
3. 关键操作必须留有审计日志

🔥🔥🔥道阻且长,行则将至,让我们一起加油吧！🌙🌙🌙

💖The Start💖点点关注，收藏不迷路💖

Linux中su与sudo命令的区别：权限管理的关键差异解析

💝💝💝欢迎莅临我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。推荐：「storms…...

编程日记 2025/10/31 23:48:58

《从零掌握MIPI CSI-2: 协议精解与FPGA摄像头开发实战》-- CSI-2 协议详细解析LLP (二）

低层协议（Low Level Protocol, LLP）详细解析 1. 低层协议（Low Level Protocol, LLP）核心特性包基础 ：基于字节的包协议，支持短包 （32位）和长包 （可变长度&#xff0…...

编程日记 2025/11/2 5:07:07

第4天：RNN应用（心脏病预测）

🍨 本文为🔗365天深度学习训练营中的学习记录博客🍖 原作者：K同学啊目标具体实现 （一）环境语言环境：Python 3.10 编译器: PyCharm 框架: Pytorch （二）具体步骤…...

编程日记 2025/10/31 15:03:05

Python训练day40

知识点回顾： 彩色和灰度图片测试和训练的规范写法：封装在函数中展平操作：除第一个维度batchsize外全部展平 dropout操作：训练阶段随机丢弃神经元，测试阶段eval模式关闭dropout 作业：仔细学习下测试和训练…...

编程日记 2025/7/8 14:26:30

湖北理元理律师事务所：债务优化中的民生保障实践

在债务纠纷数量年增21%（2023年最高人民法院数据）的背景下，法律服务机构如何平衡债务清偿与民生保障，成为行业重要课题。湖北理元理律师事务所通过“法律金融心理”三维服务模式，探索出一条可持续的债务化解路径。一、…...

编程日记 2025/10/5 14:19:24

Vue-Todo-list 案例

一、前言在前端开发中，Todo List（待办事项列表） 是一个非常经典的入门项目。它涵盖了组件化思想、数据绑定、事件处理、本地存储等核心知识点，非常适合用来练习 Vue 的基本用法。本文将带你一步步实现一个功能完整的 Vue Todo…...

编程日记 2025/7/31 6:31:05

GIC700概述

GIC-700是用于处理外设与处理器核之间，以及核与核之间中断的通用中断控制器。GIC-700支持分布式微体系结构，其中包含用于提供灵活GIC实现的几个独立块。 GIC700支持GICv3、GICv3.1、GICv4.1架构。该微体系结构规模可从单核到互联多chip环境&#xff0…...

编程日记 2025/11/2 4:44:54

动静态库的使用（Linux）

1.库通俗来说，库就是现有的，可复用的代码，例如：在C/C语言编译时，就需要依赖相关的C/C标准库。本质上来说库是一种可执行代码的二进制形式，可以被操作系统载入内存执行。通常我们可以在windows下看到一些后…...

编程日记 2025/10/21 16:26:03

Flutter、React Native 项目如何搞定 iOS 上架？从构建 IPA 到上传 App Store 的实战流程全解析

你可能会认为：用了跨平台框架（如 Flutter 或 React Native），开发效率提高了，发布流程也该更轻松才对。但当我第一次要将一个 Flutter 项目发布到 App Store 时，现实给了我一巴掌： “没有 Mac&…...

编程日记 2025/9/16 17:40:12

统信桌面专业版如何使用python开发平台jupyter

哈喽呀，小伙伴们最近有学员想了解在统信UOS桌面专业版系统上开发python程序，Anaconda作为python开发平台,anaconda提供图形开发平台,提供大量的开发插件和管理各种插件的平台，但是存在版权问题，有没有其他工具可以替代Anaconda呢…...

编程日记 2025/11/5 14:42:35

移除元素-JavaScript【算法学习day.04】

题目链接：27. 移除元素 - 力扣（LeetCode） 第一种思路标签：拷贝覆盖主要思路是遍历数组 nums，每次取出的数字变量为 num，同时设置一个下标 ans 在遍历过程中如果出现数字与需要移除的值不相同时&#xff…...

编程日记 2025/9/11 6:47:40

Android 相对布局管理器(RelativeLayout)

俩重要属性 android:gravity android:ignoreGravity Android 相对布局管理器：自由排列的魔法布局想象一下，你是一个室内设计师，需要在一个房间里摆放家具。RelativeLayout（相对布局）就像是一个 "自由摆放"…...

编程日记 2025/10/2 9:33:29

DuckDB + Spring Boot + MyBatis 构建高性能本地数据分析引擎

DuckDB 是一款令人兴奋的内嵌式分析型数据库 (OLAP)，它为本地数据分析和处理带来了前所未有的便捷与高效 🚀。它无需外部服务器，可以直接在应用程序进程中运行，并提供了强大的 SQL 支持和列式存储带来的高性能。什么是 DuckDB&am…...

编程日记 2025/7/23 22:32:34

什么是预训练？深入解读大模型AI的“高考集训”

1. 预训练的通俗理解：AI的“高考集训” 我们可以将预训练（Pre-training） 形象地理解为大模型AI的“高考集训”。就像学霸在高考前需要刷五年高考三年模拟一样，大模型在正式诞生前，也要经历一场声势浩大的“题海战术”…...

编程日记 2025/11/4 13:06:55

鸿蒙仓颉语言开发实战教程：购物车页面

大家上午好，仓颉语言商城应用的开发进程已经过半，不知道大家通过这一系列的教程对仓颉开发是否有了进一步的了解。今天要分享的购物车页面： 看到这个页面，我们首先要对它简单的分析一下。这个页面一共分为三部分，分别是…...

编程日记 2025/11/1 15:06:50

OPENCV的AT函数

一.AT函数介绍在 OpenCV 中，at（） 是一个模板成员函数，用于访问和修改矩阵或图像中特定位置的元素。它提供了一种直接且类型安全的方式来操作单个像素值，但需要注意其性能和类型匹配问题 AT函数是OPENCV中重要的函数…...

编程日记 2025/11/1 23:56:55

【走好求职第一步】求职OMG——见面课测验4

2025最新版！！！6.8截至答题，大家注意呀！博主码字不易点个关注吧~~ 1.单选题(2分) 下列不属于简历撰写技巧原则的是（ A ） A.具体性 B.相关性 C.匹配性 2.单选题(2分) 笔试的下一步一般是:( B &…...

编程日记 2025/7/7 20:45:36

ISO 17387——解读自动驾驶相关标准法规（LCDAS）

Intelligent transport systems — Lane change decision aid systems (LCDAS) — Performance requirements and test procedures(First edition: 2008-05-01) 原文链接：https://cdn.standards.iteh.ai/samples/43654/701fd49bde7b4d3db165444b7c6f0c53/ISO-17387…...

编程日记 2025/11/2 3:09:11

智慧零售管理中的客流统计与属性分析

智慧零售管理中的视觉分析技术应用一、背景与需求随着智慧零售的快速发展，传统零售门店面临管理效率低、安全风险高、客户体验差等问题。通过视觉分析技术，智慧零售管理系统可实现对门店内人员行为的实时监控与数据分析，从而提升运营效率…...

编程日记 2025/11/4 16:40:28

Ps：Adobe PDF 预设

Ps菜单：编辑/Adobe PDF 预设 Edit/Adobe PDF Presets 通过“Adobe PDF 预设” Adobe PDF Presets对话框，可以查看 Adobe PDF 预设，了解复杂的 PDF 设置。还可以编辑、新建、删除、载入预设，根据最终用途（如高质量打印、…...

编程日记 2025/11/1 13:50:53

Python Excel 文件处理：openpyxl 与 pandas 库完全指南

在数据处理和分析过程中，Excel 文件是最常见的数据存储格式之一。Python 提供了多个库来处理 Excel 文件，其中 openpyxl 和 pandas 是最常用的两个库。它们各自有独特的优势，适用于不同的需求。本文将详细介绍如何使用这两个库来处理 Excel 文…...

编程日记 2025/10/12 0:23:01

九、【ESP32开发全栈指南： UDP通信服务端】

一、TCP与UDP核心差异特性TCPUDP连接方式面向连接 (需三次握手)无连接可靠性可靠传输 (重传/排序/校验)尽力交付 (不保证可靠性)实时性延迟较高低延迟，实时性强传输效率协议开销大头部开销小 (仅8字节)连接类型点对点支持广播/多播资源占用高 (需维护连接状态)极低…...

编程日记 2025/9/15 13:13:57

靶场（二十）---靶场体会小白心得 ---jacko

老样子开局先看端口，先看http端口 PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 10.0 |_http-title: H2 Database Engine (redirect) | http-methods: |_ Potentially risky methods: TRACE |_http-server-header:…...

编程日记 2025/11/3 12:18:48

【EasyExcel】导出时添加页眉页脚

一、需求使用 EasyExcel 导出时添加页眉页脚二、添加页眉页脚的方法通过配置WriteSheet或WriteTable对象来添加页眉和页脚。以下是具体实现步骤： 1. 创建自定义页眉页脚实现类 public class CustomFooterHandler implements SheetWriteHandler {private final…...

编程日记 2025/9/28 5:50:28