Linux中root和sudo的用法与区别

Linux 下面有两个概念可能大家接触的比较多，一个是 sudo 命令，还有一个是 root 账户。Sudo命令可以以最高权限执行命令，而 root 账户下所有命令都有最高权限，也就是相当于所有命令都默认加了 sudo。

那么sudo 和 root 的区别到底是什么呢，为什么我们建议使用 sudo 而不是直接使用 root 账户？在本教程中，您将了解 root 访问、sudo 命令、如何使用 sudo 运行命令以及 sudo 访问和 root 之间的区别。

什么是 root？

root 是指 Linux 等类 Unix 系统中的超级用户帐户。它是用于系统管理的系统上具有最高访问权限的特权帐户。此根/超级用户帐户的用户标识符 (UID) 为零，无论帐户名称如何。

root 用户拥有整个系统的完全权限（root 特权）。它可以做诸如修改系统的核心部分、升级系统、更改系统配置以及启动、停止和重新启动所有正在运行的系统服务之类的事情。

以 root 身份登录（使用 su -）时，终端命令提示符符号从

$echo'Youareinanormalshell'

变成

#echo'Thisisarootshell'

在某些系统（如 Ubuntu）上，root 用户默认被锁定。（备注：搬瓦工并不会锁定，但是腾讯云默认会锁定）。

什么是 Sudo？

sudo(superuser do) 命令是一个命令行实用程序，它允许用户以 root 或其他用户身份执行命令。它提供了一种有效的方式来授予某些用户适当的权限以使用特定的系统命令或以 root 用户身份运行脚本。

虽然有点类似于 su 命令，但sudo的不同之处在于它默认需要用户的密码进行身份验证，而不是 su 需要的目标用户的密码。Sudo 也不会产生 root shell；相反，它以提升的权限运行程序或命令，不像 su，它产生一个 root shell。

使用 sudo，系统管理员可以执行以下操作：

授予用户或用户组以提升或 root 权限运行某些命令的能力。

查看每个使用 sudo 的用户的用户 ID 的日志。

控制用户可以在主机系统上使用什么命令。

Sudo 会记录在 /var/log/auth.log 文件中执行的所有命令和参数的日志，可以在出现故障时进行分析。

sudoers 文件

sudo 使用默认的 sudoers 安全策略，并保留一个特殊的配置文件 /etc/sudoers。该文件可用于控制访问权限和密码提示超时。

注意：您必须具有提升的权限才能查看 sudoers 文件

打开 /etc/sudoers 文件；它应该是这样的：

#ThisfileMUSTbeeditedwiththe'visudo'commandasroot.
#
#Pleaseconsideraddinglocalcontentin/etc/sudoers.d/insteadof
#directlymodifyingthisfile.
#
#Seethemanpagefordetailsonhowtowriteasudoersfile.
#
Defaultsenv_reset
Defaultsmail_badpass
Defaultssecure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/
sbin:/bin"
#Hostaliasspecification
#Useraliasspecification
#Cmndaliasspecification
#Userprivilegespecification
rootALL=(ALL:ALL)ALL
#Allowmembersofgroupsudotoexecuteanycommand
%sudoALL=(ALL:ALL)ALL
#Seesudoers(5)formoreinformationon"@include"directives:
@includedir/etc/sudoers.d

其中这行：

rootALL=(ALL:ALL)ALL

意味着 root 用户拥有无限的权限并且能够在系统上运行任何命令。

%sudoALL=(ALL:ALL)ALL

允许组 sudo 的所有成员执行任何命令。

注意：sudoers 文件中的 ‘%’ 代表一个组，而不是注释。

从 /etc/sudoers 文件的第一行可以看出：

#ThisfileMUSTbeeditedwiththe'visudo'commandasroot

不要尝试直接编辑 sudoers 文件。使用具有 root 权限的 visudo 命令。

使用 sudo 运行命令很简单，只需要在命令前面加上 sudo 即可：

$sudocommand

一般来说会提示输入密码，输入密码后回车即可。

$sudocommand
[sudo]passwordforuser:

Sudo 对比 Root

最小权限原则是一种信息和计算机安全概念，它认为授予程序和用户执行任务所需的最少或最低限度的权限。

以 root 用户登录后，输入到终端的每一条命令都以系统最高权限运行，违反了最小权限原则。像 rm 这样的简单命令可用于删除核心根目录或文件，而不会在意外时提示用户。例如，如果您尝试使用以下命令删除 /etc 之类的根目录：

$rm-rf/etc

当您以普通用户身份登录时，您将被拒绝许可。当以 root 身份登录时，不会显示任何提示，并且整个文件夹将被删除 – 这很可能会破坏您的系统，因为运行系统所需的特殊配置文件存储在 /etc 目录中。您也可能最终错误地格式化磁盘，并且系统不会提示您。

此缺陷还扩展到以 root 身份运行代码或应用程序；应用程序中的一个小错误可能会删除一些系统文件，因为该应用程序是在最高权限下运行的。

Sudo 提供细粒度的访问控制。它仅向需要它的特定程序授予提升的权限。您知道哪个程序以提升的权限运行，而不是使用 root shell（以 root 权限运行每个命令）。

Sudo 也可以配置为以另一个用户身份运行命令，指定允许哪些用户和组使用 sudo 运行命令，或者通过编辑 sudoers 文件设置以 root 权限运行程序的超时。

因此，不建议使用 root shell 运行命令，因为您破坏系统的机会要高得多。如果您需要更高权限或 root 权限来运行命令，请使用 sudo 确保只有该命令以 root 权限运行。

审核编辑：汤梓红