想象一下，你是一个电脑的超级英雄，拥有特殊的权限去执行一些普通用户做不到的操作。在这个世界里，有两种方式来使用这种超能力：一种叫做su，另一种叫做sudo。让我们探讨一下sudo这个超级英雄的工具箱是怎么工作的。

相对于 su 需要了解新切换的使用者密码 （常常是需要 root 的密码）， sudo 的执行则仅需要自己 的密码即可！ 甚至可以设置不需要密码。

sudo 的执行是这样的流程：

1. 当使用者执行 sudo 时，系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限；

2. 若使用者具有可执行 sudo 的权限后，便让使用者“输入使用者自己的密码”来确认；

3. 若密码输入成功，便开始进行 sudo 后续接的指令（但 root 执行 sudo 时，不需要输入密码）；

4. 若欲切换的身份与执行者身份相同，那也不需要输入密码。

除了 root 之外的其他帐号，若想要使用 sudo 执行属于 root 的权限指 令，则 root 需要先使用 visudo 去修改 /etc/sudoers ，其实 visudo 只是利用 vi 将 /etc/sudoers 文件调用出来进行修改而已。让该帐号能够使用全部或部分的 root 指令功能。为什么 要使用 visudo 呢？这是因为 /etc/sudoers 是有设置语法的，如果设置错误那会造成无法使用 sudo 指令的不 良后果。因此才会使用 visudo 去修改， 并在结束离开修改画面时，系统会去检验 /etc/sudoers 的语法。

1. “使用者帐号”：系统的哪个帐号可以使用 sudo 这个指令的意思；

2. “登陆者的来源主机名称”：当这个帐号由哪部主机连线到本 Linux 主机，意思是这个帐号可能是由哪一部网络主机连线过来的， 这个设置值可以指定用户端计算机（信任的来源的意思）。默认值root 可来自任何一部网络主机

3. “（可切换的身份）”：这个帐号可以切换成什么身份来下达后续的指令，默认 root 可以切换成任何人；

4. “可下达的指令”：可用该身份下达什么指令？这个指令请务必使用绝对路径撰写。 默认 root 可以切换任何身份且进行任何指令之意。

那ALL 是特殊的关键字，代表任何身份、主机或指令的意思

两次执行 sudo 的间隔在五分钟内，那么再次执行 sudo 时就不需要再次输入密码了

配置举例说明1

%wheel ALL=（root） NOPASSWD: /usr/bin/passwd

在最左边加上 % 代表后面接的是一个“群组

NOPASSWD是免除密码输入

/usr/bin/passwd是可以执行 passwd 指令 加上惊叹号 ! 代表不可执行

配置举例说明2

User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2

Cmnd_Alias ADMPWCOM = !/usr/bin/passwd

ADMPW ALL=（root） ADMPWCOM

别名创建 ADMPW代表后面接的那些实际帐号。 而该帐号能够进行的指令就如同 ADMPWCOM 后面所指定的

用法举例

常见参数

-b ：将后续的指令放到背景中让系统自行执行，而不与目前的 shell 产生影响

-u ：后面可以接欲切换的使用者，若无此项则代表切换身份为 root

以 sshd 的身份在 /tmp 下面创建一个名为 mysshd 的文件

sudo -u sshd touch /tmp/mysshd

sudo -i

• sudo -i启动一个新的登录shell，模仿用户登录过程，将环境变化为目标用户（默认为root）的环境，包括切换到其家目录、加载其登录shell的配置文件等。这是一种安全的方式来获得一个几乎等同于完全登录为root的环境。

sudo -s

• sudo -s启动一个新的shell会话，但保持当前用户的一些环境设置（如工作目录），同时以root用户的权限运行。它不模仿登录过程，因此不会加载目标用户的登录配置文件，但会尝试加载相应的shell配置文件。

sudo su

• sudo su组合实际上是先用sudo命令以root权限执行su命令，通常会切换到root用户的环境中去。这种方法会启动一个新的shell会话，但它依赖于su的行为，通常意味着加载root用户的环境，但具体受到su命令行为的影响。通常，sudo su不会加载root用户的登录脚本（如.profile或.bash_profile），除非使用su -命令。