怎么用su

1、先登录普通用户，没事不允许登录root。

只有需要执行的任务需要root权限的时候再用。(系统维护通道)

用su管理。必须知道root密码，安全隐患。

需求：1、不用知道root密码还能管理服务器

最小化管理服务器，想关机只给你halt权限。

sudu命令：可以以最小化的权限（单个命令）执行命令事拥有root用户的权限

suid ：针对命令 任何用户执行命令都有root身份 任意用户

sodu ： 针对用户 给某个用户以root身份执行某个命令 指定指定用户

sudo是一个提权的命令 （对应权限通过/etc/sudoers文件实现的）

配置/etc/sudoers可以使用visudo 命令，或vim /etc/sudots

输入visudo 进入编辑状态 更改oldboy使用命令的权限

sudo命令：

可以以最小化的权限（单个命令），执行命令时拥有root用户的权限

SUID 针对命令，任何用户执行命令都有root身份。 任何用户执行某个命令：模糊

SUDO 针对用户，给某个用户以root身份执行某个命令。指定用户执行某个命令：具体。

如何编辑配置sudo？

sudo是一个提权的命令（对应权限通过读取/etc/sudoers（严格语法）文件实现的）

配置/etc/sudoers可以使用visudo命令，或vim /etc/sudoers（不推荐）

[oldboy@oldboyedu ~]$ ls /root

ls: cannot open directory /root: Permission denied

完成上面的动作。

给oldboy用户，针对ls设置权限。

visudo进入编辑状态，（100G 切换到100行）

然后进行权限增减操作 ALL表示和root权限一样 加命令路径是单个权限

Allow root to run any commands anywhere

root ALL=(ALL) ALL

oldboy ALL=(ALL) /usr/bin/ls #<===增加一行

用户 主机=（角色） 命令

注意

增加的命令如果多条要用，逗号隔开

1、路径要用全路径 which+命令查询全路径

2、不要用vim/etc/sudoers 如果非要用的话 -c 检查

Which 加命令 查询全路径。

oldboy是管理员，并且不要密码：

oldboy ALL=(ALL) NOPASSWD: ALL（不用密码）

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin

[root@oldboyedu ~]# su - oldboy

Last login: Tue Mar 26 10:44:08 CST 2019 on pts/3

[oldboy@oldboyedu ~]$ ls /root

ls: cannot open directory /root: Permission denied

[oldboy@oldboyedu ~]$ sudo -l

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility.

[sudo] password for oldboy:

Matching Defaults entries for oldboy on oldboyedu:

User oldboy may run the following commands on oldboyedu:

(ALL) /bin/ls

[oldboy@oldboyedu ~]$ sudo ls /root

a.txt c.txt data1 etc oldboy oldboy_b oldboy_soft_link pass test.txt user.log

b.txt d d.txt grep.txt oldboy_1.txt oldboyedu.txt oldboy.txt test test.txt.ori

[oldboy@oldboyedu ~]$ ls /root

ls: cannot open directory /root: Permission denied

[oldboy@oldboyedu ~]$

Sudu工作原理

范例14-17：创建新用户range,要求该用户7天内不能更改密码，

60天以后必须修改密码，过期前10天通知用户，过期后30天后禁止用户登录。

chage -m7 -M60 -W10 -I30 oldboy

联系英文：

Options:

-d, --lastday LAST_DAY set date of last password change to LAST_DAY

-E, --expiredate EXPIRE_DATE set account expiration date to EXPIRE_DATE

-h, --help display this help message and exit

-I, --inactive INACTIVE set password inactive after expiration

                            to INACTIVE

-l, --list show account aging information

-m, --mindays MIN_DAYS set minimum number of days before password

                            change to MIN_DAYS

-M, --maxdays MAX_DAYS set maximim number of days before password

                            change to MAX_DAYS

-R, --root CHROOT_DIR directory to chroot into

-W, --warndays WARN_DAYS set expiration warning days to WARN_DAYS