一、用戶授權(quán)不同

Su（Switch User）命令允許用戶在當(dāng)前會(huì)話中切換到其他用戶的身份，它通常用于在不退出當(dāng)前會(huì)話的情況下執(zhí)行特權(quán)操作。su命令需要輸入目標(biāo)用戶的密碼，以確認(rèn)切換到該用戶的身份。

Sudo（Superuser Do）命令允許普通用戶以超級(jí)用戶（root）的身份執(zhí)行特權(quán)命令。與su不同，sudo命令并不要求知道超級(jí)用戶的密碼。相反，它使用用戶自己的密碼進(jìn)行身份驗(yàn)證。

相比之下，sudo更加靈活，因?yàn)楣芾韱T可以控制哪些用戶可以以root身份執(zhí)行特定命令，而無(wú)需共享root密碼。

二、操作記錄不同

使用su命令切換到其他用戶時(shí)，操作記錄不會(huì)被記錄下來(lái)。這意味著無(wú)法追蹤到切換用戶的具體操作，從而在故障排除和安全審計(jì)方面存在一定的局限性。

然而，sudo命令具有更強(qiáng)大的操作記錄功能。通過(guò)配置sudoers文件，可以將sudo命令執(zhí)行的日志記錄到系統(tǒng)的日志文件中，通常是/var/log/auth.log。這使得管理員可以追蹤到特權(quán)命令的執(zhí)行情況，以及執(zhí)行這些命令的用戶身份。

三、環(huán)境切換不同

當(dāng)使用su命令切換到其他用戶時(shí)，會(huì)完全切換到目標(biāo)用戶的環(huán)境，包括用戶的工作目錄、環(huán)境變量和shell配置等。這可以為用戶提供與目標(biāo)用戶完全相同的工作環(huán)境，但可能會(huì)導(dǎo)致一些不必要的混淆或意外操作。

與之相反，sudo命令在執(zhí)行特權(quán)命令時(shí)，維持了當(dāng)前用戶的環(huán)境。這意味著，sudo命令在切換權(quán)限前不會(huì)改變用戶的工作目錄或環(huán)境變量設(shè)置，這有助于避免意外修改或執(zhí)行不必要的操作。

四、使用方式不同

su命令的使用方式很簡(jiǎn)單，只需要在終端中輸入”su”命令，然后輸入目標(biāo)用戶的密碼即可完成切換。

sudo命令的使用稍微復(fù)雜一些。通常，需要在執(zhí)行命令前加上”sudo”關(guān)鍵字，然后輸入當(dāng)前用戶的密碼。例如，要以root用戶身份執(zhí)行命令，可以使用”sudo command”的形式。此外，sudo還支持一些參數(shù)和選項(xiàng)，如”-u”用于指定要執(zhí)行命令的用戶，”-i”用于模擬以目標(biāo)用戶身份登錄。

五、授權(quán)范圍不同

su命令在切換用戶時(shí)，會(huì)授予目標(biāo)用戶的完全權(quán)限。這意味著切換后的用戶可以執(zhí)行系統(tǒng)中的任何操作，包括對(duì)系統(tǒng)關(guān)鍵文件和配置的修改。因此，在使用su命令時(shí)需要謹(jǐn)慎，確保只有可信用戶才能獲得超級(jí)用戶權(quán)限。

相比之下，sudo命令允許系統(tǒng)管理員在sudoers文件中精確指定授權(quán)范圍。管理員可以為每個(gè)用戶或用戶組分配特定的特權(quán)命令，從而實(shí)現(xiàn)細(xì)粒度的權(quán)限管理。這樣可以減少濫用權(quán)限的風(fēng)險(xiǎn)，同時(shí)保護(hù)系統(tǒng)的安全性。

延伸閱讀1：sudo配置文件有哪些

在Linux系統(tǒng)中，sudo命令的配置文件是sudoers文件，它定義了哪些用戶可以以root身份執(zhí)行特定的命令。sudoers文件的路徑通常是/etc/sudoers，但是為了避免意外破壞該文件，通常建議使用visudo命令來(lái)編輯sudoers文件。

sudoers文件的配置格式是基于行的，每行定義了一個(gè)規(guī)則或者注釋。以下是sudoers文件中常用的配置選項(xiàng)：

一、用戶別名（User_Alias）：允許定義一組用戶的別名，以便在其他規(guī)則中使用。例如：

User_Alias ADMINS = user1, user2

二、命令別名（Cmnd_Alias）：允許定義一組命令的別名，以便在其他規(guī)則中使用。例如：

Cmnd_Alias EDITORS = /usr/bin/vim, /usr/bin/nano

三、主機(jī)別名（Host_Alias）：允許定義一組主機(jī)的別名，以便在其他規(guī)則中使用。例如：

Host_Alias SERVERS = server1, server2

四、運(yùn)行用戶（Runas）：指定可以使用sudo命令執(zhí)行命令的目標(biāo)用戶。例如：

user1 ALL=(root) /usr/bin/apt-get

五、命令規(guī)則（Cmnd）：指定哪些命令可以以root身份執(zhí)行。例如：

user1 ALL=(root) /sbin/reboot

六、權(quán)限規(guī)則（Privilege）：指定可以使用sudo命令執(zhí)行的特權(quán)級(jí)別。例如：

user1 ALL=(ALL:ALL) ALL

七、默認(rèn)規(guī)則（Defaults）：允許定義全局的默認(rèn)配置選項(xiàng)，如默認(rèn)的權(quán)限、環(huán)境變量等。例如：

Defaults        env_resetDefaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

注意：編輯sudoers文件時(shí)務(wù)必小心，避免語(yǔ)法錯(cuò)誤或配置錯(cuò)誤，這可能導(dǎo)致用戶無(wú)法使用sudo命令。在修改sudoers文件后，使用‘visudo’命令檢查文件的語(yǔ)法錯(cuò)誤是一種良好的實(shí)踐。此外，應(yīng)該遵循最小權(quán)限原則，僅為必要的用戶和命令提供sudo訪問(wèn)權(quán)限，以確保系統(tǒng)安全性。