#1:runuser命令
runuser命令使用一個(gè)替代的用戶或者組ID運(yùn)行一個(gè)Shell。這個(gè)命令僅在root用戶時(shí)有用�����。
僅以會(huì)話PAM鉤子運(yùn)行��,并且沒有密碼提示��。如果用一個(gè)非root用戶�,并且該用戶沒有權(quán)限設(shè)置user ID,這個(gè)命令將會(huì)因?yàn)槌绦驔]有setuid而失敗���。因runuser不會(huì)運(yùn)行認(rèn)證和賬戶PAM鉤子����,它比su更底層���。
語(yǔ)法:
代碼如下:
runuser -l userNameHere -c 'command'
runuser -l userNameHere -c '/path/to/command arg1 arg2'
舉例來說�,作為一個(gè)root用戶�����,你也許想檢查下oracle用戶下的shell資源限制���,輸入:
代碼如下:
# runuser -l oracle -c 'ulimit -SHa'
或者監(jiān)察下nginx或lighttpd web服務(wù)器限制:
代碼如下:
# runuser -l nginx -c 'ulimit -SHa'
或
代碼如下:
# runuser -l lighttpd -c 'ulimit -SHa'
有時(shí)���,root用戶由于權(quán)限(安全)問題不能瀏覽NFS掛載的共享:
代碼如下:
# ls -l /nfs/wwwroot/cyberciti.biz/http
或
代碼如下:
# cd /nfs/wwwroot/cyberciti.biz/http
可能的輸出:
代碼如下:
-bash: cd: /nfs/wwwroot/cyberciti.biz/http/: Permission denied
盡管如此,apache用戶被允許瀏覽或訪問掛載在/nfs/wwwroot/cyberciti.biz/http/下基于nfs的系統(tǒng):
代碼如下:
# runuser -l apache -c 'ls -l /nfs/wwwroot/cyberciti.biz/http/'
或
代碼如下:
# runuser -l apache -c 'cd /nfs/wwwroot/cyberciti.biz/http/; vi index.php'
使用runuser命令����,無需使用密碼,并且����,只能在root用戶下使用��。
可用選項(xiàng):
-l: 讓shell成為登錄shell���,用 runuser -l PAM 文件替代默認(rèn)的
-g:指定主要的組
-G 追加組
-c:命令,要傳到shell的單個(gè)命令
--session-command=COMMAND:使用-c傳遞單個(gè)命令道shell中并且不創(chuàng)建新的會(huì)話
-m: 不重置環(huán)境變量��。
#2:su命令
su命令允許你成為一個(gè)超級(jí)用戶或者替代用戶(substitute user)��,欺騙用戶(spoof user)�����,設(shè)置用戶(set user)或者切換用戶(switch user)���。它允許一個(gè)Linxu用戶切換當(dāng)前用戶到那些你知道密碼的目標(biāo)用戶,切換包括與之關(guān)聯(lián)的運(yùn)行中的控制臺(tái)(console)或者Shell�,它的語(yǔ)法如下:
代碼如下:
su -
su - username
切換到root用戶
su命令會(huì)詢問目標(biāo)用戶的密碼���,在你的shell命令行中輸入 su - 來切換到root用戶(你必須知道root用戶的密碼):
代碼如下:
vivek@wks01:~$ su -
或
代碼如下:
vivek@wks01:~$ su - root
輸出示例:
Password:
代碼如下:
root@wks01:/root# logout
vivek@wks01:~$
如果輸入了正確的root密碼����,會(huì)話的所有權(quán)(這里應(yīng)該指當(dāng)前控制臺(tái)的上下文——譯注)將改為root賬戶�。輸入logout可以退出一個(gè)root登錄的shell��,輸入 whoami或者id命令來驗(yàn)證當(dāng)前會(huì)話的所有者:
whoami
或
id
用root賬戶運(yùn)行命令
語(yǔ)法是:
代碼如下:
su - root -c "command"
或
代碼如下:
su - -c "command arg1"
查看/root目錄下的內(nèi)容�,這些原本是普通用戶無法訪問的���,運(yùn)行:
代碼如下:
su - root -c "ls -l /root"
需要注意的是,Linix和一些Unix-like系統(tǒng)有一個(gè)wheel用戶組���,并且只允許這個(gè)組內(nèi)的用戶使用su切換到root��。
使用su命令來讓其他用戶運(yùn)行命令
下面這個(gè)命令是切換到oracle的賬戶����,并且顯示限制清單:
代碼如下:
$ su - oracle -c 'ulimit -aHS'
同樣�����, 如果提供了正確的oracle密碼�����,會(huì)話所有權(quán)將會(huì)變成oracle賬戶�����。su命令的日志保存在系統(tǒng)日志中,一般是在/var/log/auth.log(Debian/Ubuntu)或者/var/log/secure(RHEL/CentOS)����。
#3: sudo命令
sudo以另外的用戶來執(zhí)行一個(gè)命令,但是它跟著一組關(guān)于那些用戶可以以那些其他用戶執(zhí)行那些命令的規(guī)則(有點(diǎn)繞口——譯注)�。這個(gè)規(guī)則在/etc/sudoers這個(gè)文件中被定義。不像su����,sudo驗(yàn)證用戶是靠用戶自己的密碼而不是那個(gè)要切換的用戶密碼。當(dāng)提供一個(gè)審計(jì)跟蹤命令和他們的參數(shù)時(shí)(原文:...whileproviding an audit trail of the commands and their arguments——譯注)sudo允許一個(gè)系統(tǒng)管理員給某些用戶(或用戶組)委派以root或其他用戶來運(yùn)行某些(或全部)命令的權(quán)限���。這允許無需在用戶之間共享密碼就可以在指定宿主上將指定命令委派給指定用戶��。語(yǔ)法如下:
代碼如下:
sudo command
GUI工具注意事項(xiàng)(su和sudo的前端GUI)
