Linux 命令 su 和 sudo 的区别？( 三 ) _Linux

我们现在切换到 test_user 用户，尝试显示 /etc/shadow文件的内容：
ubuntu@VM-0-14-ubuntu:~$ su - test_userPassword: # test_user 的密码$ sudo cat /etc/shadow[sudo] password for test_user: # test_user 的密码test_user is not in the sudoers file. This incident will be reported.$我们会看到倒数第二行中的错误提示信息，我们无法查看 /etc/shadow的内容，这是为什么？为什么 ubuntu 可以使用sudo但是 test_user 不行呢？
这就涉及到 sudo的工作原理了。

3.2 sudo工作原理一个用户能否使用 sudo命令，取决于/etc/sudoers文件的设置。
从 3.1 节中我们已经看到，ubuntu 用户可以正常使用 sudo，但是 test_user 用户却无法使用，这是因为/etc/sudoers文件里没有配置 test_user 。
/etc/sudoers也是一个文本文件，但是因其有特定的语法，我们不要直接用vim或者vi来编辑它，需要用visudo这个命令。输入这个命令之后就能直接编辑/etc/sudoers这个文件了。
需要说明的是，只有 root 用户有权限使用 visudo命令。
我们先来看下输入 visudo命令后显示的内容。
输入（root 用户）：
root@VM-0-14-ubuntu:~# visudo输出：
# User privilege specificationroot ALL=(ALL:ALL) ALL# Members of the admin group may gain root privileges%admin ALL=(ALL) ALL# Allow members of group sudo to execute any command%sudo ALL=(ALL:ALL) ALL# See sudoers(5) for more information on "#include" directives:#includedir /etc/sudoers.dubuntu ALL=(ALL:ALL) NOPASSWD: ALL解释下每一行的格式：

第一个表示用户名，如 root、ubuntu等；
接下来等号左边的 ALL表示允许从任何主机登录当前的用户账户；
等号右边的 ALL表示：这一行行首对一个的用户可以切换到系统中任何一个其它用户；
行尾的 ALL表示：当前行首的用户，能以 root 用户的身份下达什么命令，ALL表示可以下达任何命令。

我们还注意到 ubuntu对应的那一行有个NOPASSWD关键字，这就是表明 ubuntu 这个用户在请求sudo时不需要输入密码，到这里就解释了前面的问题。
同时我们注意到，这个文件里并没有 test_user对应的行，这也就解释了为什么 test_user 无法使用sudo命令。
接下来，我们尝试将 test_user 添加到 /etc/sudoers文件中，使 test_user 也能使用sudo命令。我们在最后一行添加：
test_user ALL=(ALL:ALL) ALL # test_user 使用 sudo 需要提供 test_user 的密码接下来我们再在 test_user 账户下执行 sudo：

ubuntu@VM-0-14-ubuntu:~$ su - test_userPassword:$ tail -n 3 /etc/shadowtail: cannot open '/etc/shadow' for reading: Permission denied$ sudo tail -n 3 /etc/shadow # 加上 sudontp:*:17752:0:99999:7:::mysql:!:18376:0:99999:7:::test_user:$6$.ZY1lj4m$ii0x9CG8h.JHlh6zKbfBXRuolJmIDBHAd5eqhvW7lbUQXTRS//89jcuTzRilKqRkP8YbYW4VPxmTVHWRLYNGS/:18406:0:99999:7:::$

可以看到，现在已经可以使用 sudo了。

3.3 思考我们已经看到了，如果一个用户在 /etc/sudoers文件中，那么它就具有sudo权限，就能通过sudo su -或者sudo -i等命令切换到 root 用户了，那这时这个用户就变成 root 用户了，那这不对系统造成很大的威胁吗？
实际上的确是这样的。所以如果在编辑 /etc/sudoers文件赋予某种用户sudo权限时，必须要确定该用户是可信任的，不会对系统造成恶意破坏，否则将所有 root 权限都赋予该用户将会有非常大的危险。
当然，root 用户也可以编辑 /etc/sudoers使用户只具备一部分权限，即只能执行一小部分命令。有兴趣的读者可以参考 Reference 部分第二条，这篇文章不再赘述。另外，Linux 系列面试题和答案全部整理好了，微信搜索Java技术栈，在后台发送：面试，可以在线阅读。

4. 二者的差异对比我们已经看到：

使用 su -，提供 root 账户的密码，可以切换到 root 用户；
使用 sudo su -，提供当前用户的密码，也可以切换到 root 用户

两种方式的差异也显而易见：如果我们的 Linux 系统有很多用户需要使用的话，前者要求所有用户都知道 root 用户的密码，这显然是非常危险的；后者是不需要暴露 root 账户密码的，用户只需要输入自己的账户密码就可以，而且哪些用户可以切换到 root，这完全是受 root 控制的（root 通过设置