su是切换用户身份,sudo是临时授权执行命令;su不加-仅改uid/gid,加-才加载目标用户环境;sudo权限由/etc/sudoers控制,须用visudo编辑,日志默认记入/var/log/auth.log。
su 和 sudo 根本不是一回事,别混着用
它们解决的是两类完全不同的权限问题:su 是“我变成你”,sudo 是“我以你的身份做一件事”。前者换人,后者借权。误用会导致环境错乱、命令找不到、日志缺失,甚至安全审计失败。
用 su - 还是 su?不加 - 就等于埋雷
常见错误:执行 su root 后发现 which systemctl 找不到,或者 vim 配置还是自己用户的——这是因为没加 -(等价于 --login),shell 没加载目标用户的环境。
-
su root:只改 UID/GID,PWD、PATH、HOME全部保留原用户设置 -
su - root:清空当前 shell 环境,完整加载/root/.bashrc、/root/.profile等,PWD变成/root - Debian/Ubuntu 默认禁用 root 密码,
su -直接报错;必须先用sudo passwd root显式启用(不推荐)
sudo 不是“输密码就能为所欲为”
它的权限由 /etc/sudoers 严格控制,普通用户默认只能执行带 sorry, you must have a tty to run sudo 错误的命令——那是因为远程脚本里没配 Defaults requiretty 关闭项。
- 加
-i模拟登录 shell:sudo -i systemctl status nginx,比sudo systemctl status nginx更贴近真实服务运行环境 - 想保留当前 PATH?加
-E:sudo -E pip3 install xxx,否则可能因路径不对装到错位置 - 误删
/etc/sudoers语法?别硬改——必须用visudo,它会语法校验,保存失败自动回退
什么时候该用哪个?看这三点
不是凭感觉,而是看操作是否需要“持续上下文”、是否要“留痕可查”、是否“多人共管”。
- 临时改一个配置文件?用
sudo vim /etc/hosts—— 日志里有记录,且不污染 shell 环境 - 调试服务启动失败,怀疑是环境变量导致?用
su -l -c "systemctl --user status myapp"—— 完整复现登录态 - 给新用户开管理权限?在 root 下运行
visudo,追加alice ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl restart nginx,精确授权,不给 root shell
最容易被忽略的是:su 没日志,sudo 的日志默认写进 /var/log/auth.log,但有些精简版系统(如 Alpine)压根不装 rsyslog,sudo 操作就静默了——得手动配好日志后端,否则审计就是摆设。
