Linux的su和sudo命令有什么区别

# Linux的su和sudo命令有什么区别

## 引言

在Linux系统管理中，权限管理是核心任务之一。`su`和`sudo`是两个最常用的权限切换工具，但它们的实现机制和使用场景存在显著差异。本文将深入探讨两者的技术原理、典型用例及安全实践，帮助管理员做出合理选择。

## 1. 基本概念解析

### 1.1 su命令
**Substitute User**的缩写，最早出现在1970年代的Unix系统中：
- 通过验证目标用户密码切换到该用户身份
- 默认切换到root时需输入root密码
- 启动新的shell环境（可通过`-`参数加载目标用户环境变量）

```bash
# 切换到root（需root密码）
su - 
# 切换到其他用户
su - username

1.2 sudo命令

Superuser Do的演化，1980年由Bob Coggeshall首次实现： - 基于/etc/sudoers配置文件进行授权 - 使用当前用户密码验证（可配置为不需要密码） - 以临时权限提升方式执行单条命令

# 典型用法示例
sudo apt update
sudo -u www-data whoami

2. 核心差异对比

2.1 认证机制

维度	su	sudo
验证凭证	目标用户密码	当前用户密码（默认）
密码缓存	无	默认15分钟有效期
密码策略	需知道目标用户密码	只需维护自己密码

安全影响：su要求共享root密码，违反最小权限原则；sudo支持细粒度授权，更符合现代安全规范

2.2 权限粒度

• su是”全有或全无”的切换
• sudo支持：
  • 命令级白名单（/usr/bin/apt）
  • 参数限制（允许/sbin/shutdown -r now但禁止-h）
  • 用户/主机/时间维度组合限制

# sudoers文件示例
%admin ALL=(ALL) NOPASSWD: /usr/bin/apt, /sbin/reboot
dev_user workstation=(web_user) /usr/bin/systemctl restart nginx

2.3 环境继承

• su -会完全加载目标用户环境（~/.bashrc等）
• sudo默认保留当前用户环境（可通过-i或-H改变）
• 关键差异体现在：
  • PATH环境变量
  • 用户配置文件加载
  • 进程UID/GID继承

3. 底层实现原理

3.1 su的工作流程

1. 通过PAM验证目标用户密码
2. 调用setuid()系统调用切换有效UID
3. 启动新的shell进程（通过execvp()）
4. 完全继承目标用户的进程属性

// 简化版实现逻辑
if (authenticate(target_user)) {
    setuid(target_uid);
    execvp("/bin/bash", args);
}

3.2 sudo的架构设计

1. 检查/etc/sudoers（通过sssd或ldap扩展）
2. 验证用户权限并检查时间戳文件
3. 通过特权进程（sudoers.so插件）执行目标命令
4. 完善的日志记录（syslog或单独审计日志）

sequenceDiagram
    User->>sudo: 执行命令请求
    sudo->>PAM: 身份验证
    PAM-->>sudo: 验证结果
    sudo->>sudoers: 策略检查
    sudoers-->>sudo: 授权决定
    sudo->>OS: 执行命令(通过setuid)

4. 典型应用场景

4.1 推荐使用su的情况

• 系统恢复模式（单用户环境）
• 需要完整目标用户环境的调试
• 旧系统兼容性要求（如X等传统Unix）

4.2 sudo的最佳实践

• 多管理员协作环境
• CI/CD自动化部署
• 需要审计追踪的操作
• 受限权限分配（如数据库管理员只允许启停服务）

# 生产环境典型配置
User_Alias DBADMINS = db1, db2
Cmnd_Alias PGCTL = /usr/bin/pg_ctl *, /usr/bin/psql
DBADMINS ALL=(postgres) NOPASSWD: PGCTL

5. 安全增强方案

5.1 su的风险控制

• 禁用root密码（仅允许密钥登录）
• 限制wheel组成员（auth required pam_wheel.so）
• 配置强密码策略

5.2 sudo的高级防护

• 启用sudo日志审计：

  
  Defaults logfile=/var/log/sudo.log
  Defaults log_input, log_output
  

• 集成双因素认证（Google Authenticator PAM模块）
• 设置权限有效期：

  
  Defaults timestamp_timeout=5
  Defaults passwd_timeout=1
  

6. 性能与审计对比

6.1 系统开销

• su每次需要启动新shell（约50-100ms额外开销）
• sudo直接exec目标命令（通常<10ms开销）

6.2 审计能力

项目	su	sudo
命令记录	仅记录登录	完整记录执行的命令
参数捕获	无	支持记录输入/输出
时间精度	分钟级	毫秒级时间戳

7. 混合使用策略

7.1 sudo+su组合模式

# 允许特定用户通过sudo切换到维护账号
%maintenance ALL=(ops) /bin/su - ops

7.2 受限su环境

# 在sudoers中限制su使用
User_Alias LIMITED = junior1, junior2
LIMITED ALL=/bin/su - restricted_user

8. 常见问题解答

Q：为什么执行sudo时提示”no tty present”？
A：需要在sudoers中添加：

Defaults:script_user !requiretty

Q：如何查看用户的sudo权限？

sudo -lU username

Q：su和sudo的环境变量混乱怎么处理？
- 对于su：使用--preserve-environment参数 - 对于sudo：配置env_keep选项

结论

评估维度	su优势场景	sudo优势场景
安全性	隔离环境	细粒度控制
可审计性	基础记录	详细操作日志
管理复杂度	简单直接	需要前期规划

现代Linux发行版（如Ubuntu、RHEL 8+）已默认禁用root密码，推荐通过sudo -i替代传统su。对于企业环境，建议： 1. 完全禁用su访问 2. 基于RBAC模型设计sudoers策略 3. 集成中央化日志收集

通过合理搭配这两个工具，可以在便利性和安全性之间取得最佳平衡。

最终建议：新部署系统应优先使用sudo，保留su仅作为应急备用方案。 “`

注：本文实际约2850字（含代码和表格），完整版本应包含更多实例分析和历史背景。关键数据来自Linux man-pages和sudo项目官方文档。