旅游网站 源码 织梦软文新闻发布平台

旅游网站 源码 织梦,软文新闻发布平台,ai绘图网页版免费,二十条优化措施原文一、基本概念和作用 1. su (Switch User/Substitute User) 作用#xff1a;切换用户身份#xff0c;主要用于切换到root用户语法#xff1a;su [选项] [用户名]核心功能#xff1a;完全切换到另一个用户的shell环境 su#xff0c;su -#xff0c;su root均可切换到root用…一、基本概念和作用1.su(Switch User/Substitute User)作用切换用户身份主要用于切换到root用户语法su [选项] [用户名]核心功能完全切换到另一个用户的shell环境susu -su root均可切换到root用户2.sudo(SuperUser DO / Substitute User DO)作用以超级用户或其他用户权限执行特定命令语法sudo [选项] 命令核心功能临时提升权限执行单个命令二、详细对比表特性susudo主要用途切换用户身份常用来切换到root以root权限执行单个命令密码要求需要目标用户的密码需要当前用户的密码配置决定权限控制要么有完整权限要么没有可通过配置精细控制命令权限日志记录只记录用户切换不记录具体命令详细记录所有执行的命令/var/log/auth.log环境变量默认不加载目标用户的环境变量除非用-保留当前用户的环境变量安全等级较低需要共享root密码较高无需知道root密码使用场景需要长时间使用root权限临时执行需要特权的命令三、常用命令和场景带示例结果su的常见用法# 1. 切换到root用户需要root密码$su密码********# 切换成功但仍在当前目录# 提示符变为 # 表示现在是root用户rootserver:/home/alice## 2. 切换到root并加载环境变量推荐$su- 密码********# 完全切换到root环境目录变为/rootrootserver:~# pwd/root# 3. 切换到其他用户$subob 密码******** bobserver:/home/alice$whoamibob# 4. 切换到其他用户并执行命令后返回$su-cidbob 密码********uid1001(bob)gid1001(bob)groups1001(bob)$whoami# 命令执行后自动返回原用户alice# 5. 验证是否成功切换$su- 密码******** rootserver:~# whoamiroot rootserver:~# echo $USERroot rootserver:~# exit # 退出root$whoamialicesudo的常见用法# 1. 以root权限执行命令$sudoaptupdate[sudo]alice的密码******** 命中:1 http://archive.ubuntu.com/ubuntu focal InRelease 获取:2 http://archive.ubuntu.com/ubuntu focal-updates InRelease[114kB]... $whoami# 命令执行后仍然是普通用户alice# 2. 以其他用户身份执行命令$sudo-u bobwhoami[sudo]alice的密码******** bob# 3. 切换到root的交互式shell$sudo-i[sudo]alice的密码********# 进入root的shell环境变量已加载rootserver:~# pwd/root rootserver:~# exit$# 4. 查看当前用户的sudo权限$sudo-l 匹配 %alice 在 server 上的默认条目 env_reset, mail_badpass,secure_path/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin 用户 alice 可以在 server 上运行以下命令(ALL:ALL)ALL# 5. 保留当前目录和环境$pwd/home/alice/projects $sudo-Eenv|grepPATHPATH/home/alice/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin# 6. 在脚本中使用sudo需要配置免密码$sudo-naptlist --upgradable Listing... Done四、实际应用场景带示例结果使用su的场景场景1系统维护- 需要长时间以root身份操作$whoamialice $su- 密码******** rootserver:~# systemctl stop nginxrootserver:~# tar -czf /backup/nginx-$(date %Y%m%d).tar.gz /etc/nginxrootserver:~# ls -lh /backup/总用量4.0K -rw-r--r--1root root2.3K Apr1510:30 nginx-20240415.tar.gz rootserver:~# systemctl start nginxrootserver:~# exit$whoamialice场景2切换服务账户- 以服务用户身份操作$sudo-u postgres psql psql(13.7)输入help来获取帮助信息.postgres# \l数据库列表 名称|拥有者|字元编码|校对规则|Ctype|存取权限 ---------------------------------------------------------------------------- postgres|postgres|UTF8|en_US.UTF-8|en_US.UTF-8|template0|postgres|UTF8|en_US.UTF-8|en_US.UTF-8|c/postgres |||||postgresCTc/postgres template1|postgres|UTF8|en_US.UTF-8|en_US.UTF-8|c/postgres |||||postgresCTc/postgres(3行记录)使用sudo的场景场景1日常管理- 临时安装软件$sudoaptinstallnginx[sudo]alice的密码******** 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在读取状态信息... 完成 下列【新】软件包将被安装 nginx 升级了0个软件包新安装了1个软件包要卸载0个软件包有23个软件包未被升级。 需要下载0B/51.6 kB 的归档。 解压缩后会消耗143kB 的额外空间。... $sudosystemctl status nginx ● nginx.service - A high performance web server and a reverse proxy server Loaded: loaded(/lib/systemd/system/nginx.service;enabled;vendor preset: enabled)Active: active(running)since Mon2024-04-1510:30:00 CST;1min ago场景2受限权限- 普通用户管理特定服务# 假设用户alice只能管理nginx服务$sudo-l 用户 alice 可以在 server 上运行以下命令(root)/usr/bin/systemctl start nginx,(root)/usr/bin/systemctl stop nginx,(root)/usr/bin/systemctl status nginx $sudosystemctl restart nginx[sudo]alice的密码******** $sudosystemctl status nginx|grepActive Active: active(running)since Mon2024-04-1510:31:00 CST;1s ago# 尝试其他命令会被拒绝$sudoaptupdate 对不起用户 alice 无权以 root 的身份在 server 上执行 /usr/bin/apt update。场景3审计跟踪- 查看sudo执行记录# 管理员查看sudo日志$sudogrepsudo/var/log/auth.log|tail-5 Apr1510:30:00 server sudo: alice:TTYpts/0;PWD/home/alice;USERroot;COMMAND/usr/bin/apt update Apr1510:30:15 server sudo: alice:TTYpts/0;PWD/home/alice;USERroot;COMMAND/usr/bin/systemctl status nginx Apr1510:31:00 server sudo: alice:TTYpts/0;PWD/home/alice;USERroot;COMMAND/usr/bin/systemctl restart nginx五、权限配置示例配置/etc/sudoers# 使用visudo安全编辑检查语法$sudovisudo# 添加以下内容后的实际效果# 1. 允许用户alice执行所有命令需要密码aliceALL(ALL:ALL)ALL# 测试配置$sudo-u bobwhoami[sudo]alice的密码******** bob# 2. 允许用户bob执行apt命令无需密码bobALL(ALL)NOPASSWD: /usr/bin/apt# 测试配置bob用户$sudo-u bobbash-csudo -n apt update# 直接执行无需输入密码命中:1 http://archive.ubuntu.com/ubuntu focal InRelease# 3. 允许wheel组的所有成员%wheelALL(ALL:ALL)ALL# 将用户加入wheel组$sudousermod-aG wheel charlie $groupscharlie charlie:charlie wheel# 4. 创建单独的配置文件$echo%developers ALL(ALL) /usr/bin/git, /usr/bin/docker|sudotee/etc/sudoers.d/developers %developersALL(ALL)/usr/bin/git, /usr/bin/docker# 测试$sudo-u developer1gitstatus[sudo]developer1的密码******** 位于分支 main 无文件要提交干净的工作区六、实际工作流程示例场景部署Web应用# 开发人员alice的工作流程$whoamialice# 1. 拉取代码无需特权$gitpull origin main remote: Enumerating objects:5, done. remote: Counting objects:100%(5/5), done. remote: Compressing objects:100%(3/3), done. remote: Total3(delta2), reused0(delta0), pack-reused0展开对象中:100%(3/3), 完成。# 2. 重启服务需要特权$sudosystemctl restart myapp[sudo]alice的密码********# 3. 查看日志需要特权但只读$sudotail-f /var/log/myapp.log2024-04-1510:35:00 INFO: Application started successfully2024-04-1510:35:01 INFO: Connected to database at localhost:5432# 4. 遇到复杂问题需要深入调试$sudo-i[sudo]alice的密码******** rootserver:~# journalctl -u myapp --since 10 minutes ago-- Logs begin at Mon2024-04-15 09:00:00 CST, end at Mon2024-04-1510:36:00 CST. -- Apr1510:35:00 server systemd[1]: Started My Application Service. Apr1510:35:00 server myapp[1234]: Starting application with config: /etc/myapp/config.yaml rootserver:~# exit$whoami# 已返回普通用户alice七、故障排除示例问题1用户不在sudoers文件中$sudoaptupdate alice 不在 sudoers 文件中。此事将被报告。# 解决方案用root用户添加$su- 密码******** rootserver:~# usermod -aG sudo alicerootserver:~# exit$sudoaptupdate# 再次尝试[sudo]alice的密码******** 命中:1 http://archive.ubuntu.com/ubuntu focal InRelease问题2su认证失败$subob 密码******** su: 认证失败# 检查用户是否存在$ getentpasswdbob bob:x:1001:1001::/home/bob:/bin/bash# 可能原因密码错误或用户被锁定$sudopasswd-S bob bob P 04/15/20240999997-1# P表示密码可用# 如果是root用户Ubuntu默认被锁定$su- 密码******** su: 认证失败 $sudo-i# 使用sudo代替[sudo]alice的密码******** rootserver:~#问题3sudo配置语法错误# 错误配置导致sudo无法使用$sudovisudo在文件中添加错误语法aliceALL(ALL:ALL)ALLL# 多了一个L# 保存时报错/etc/sudoers: 语法错误 near line28现在做什么 选项有1)重新编辑2)不保存退出3)仍然保存 选择2# 选择不保存退出八、安全最佳实践示例配置sudo免密码需谨慎# 危险配置完全免密码aliceALL(ALL)NOPASSWD: ALL# 安全配置仅特定命令免密码aliceALL(ALL)NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade# 测试安全配置$sudo-naptupdate# 无需密码命中:1 http://archive.ubuntu.com/ubuntu focal InRelease $sudo-naptinstallnginx# 需要密码[sudo]alice的密码********限制su的使用# 编辑PAM配置只允许wheel组成员使用su$sudonano/etc/pam.d/su# 取消注释或添加auth required pam_wheel.so use_uid# 测试效果$groupsalice alice:alicesudo# 不在wheel组$su- 密码******** su: 拒绝权限# 将用户加入wheel组$sudousermod-aG wheel alice $su- 密码********# 现在可以成功切换rootserver:~#九、总结建议情况推荐使用示例命令理由日常管理sudosudo apt update安全、可审计、无需共享root密码长时间root操作sudo -isudo -i有完整的root环境操作完成后自动退出服务账户操作sudo -u serviceusersudo -u postgres psql更安全无需知道服务账户密码自动化脚本配置免密码sudosudo -n command避免硬编码密码安全可控多管理员环境每人配置特定sudo权限alice ALL(ALL) /usr/bin/systemctl * nginx权责分明便于审计黄金法则示例# ❌ 不要这样做共享root密码# 这是root密码大家都可以用# ✅ 应该这样做每人独立账户sudo权限$whoamialice $sudosystemctl restart nginx# 执行需要特权的任务[sudo]alice的密码********# 查看谁做了什么$sudogrepalice /var/log/auth.log Apr1510:40:00 server sudo: alice:TTYpts/0;PWD/home/alice;USERroot;COMMAND/usr/bin/systemctl restart nginx实践建议为新用户配置sudo权限而非共享root密码定期审计sudo日志sudo grep COMMAND /var/log/auth.log使用sudo -l检查自己的权限配置完成后用visudo -c验证语法始终遵循最小权限原则通过以上详细的命令示例和结果展示您可以清楚地了解su和sudo在实际工作中的使用方式和区别从而更安全高效地管理系统。