《Unix用户管理》课件

用户管理Unix欢迎参加用户管理课程本课程将深入探讨系统中用户管理的各个方Unix Unix面，从基本概念到高级技术，帮助您全面掌握用户管理技能无论您是系统管理员还是对系统感兴趣的学习者，本课程都将为您提供宝贵的知识和实践经Unix验在接下来的学习中，我们将系统地介绍用户管理的重要性、基本命令、权限设置、安全策略以及最佳实践等内容，帮助您建立完善的用户管理体系课程概述什么是用户管理Unix用户管理是指在操作系统中创建、修改、删除用户账户以及控制用户权限的过程它包括用户身份验证、访问控制和资源分配等关键功能，Unix Unix/Linux是系统管理的核心组成部分为什么用户管理很重要有效的用户管理是维护系统安全的基础通过适当的用户管理，可以实现职责分离、最小权限原则，并确保每个用户只能访问他们工作所需的资源，从而大大降低系统被攻击的风险本课程主要内容本课程将涵盖用户类型、用户管理命令、文件权限系统、密码策略、高级认证方案以及最佳实践等内容我们将通过理论与实践相结合的方式，帮助您掌握全面的用户管理技能Unix用户类型Unix系统用户为运行系统服务和后台进程而创建的特殊用户这些用户通常不用于交互式登录，超级用户（）2而是作为特定服务或应用程序的身份运行root例如，网络服务器可能以Apache www-拥有系统中最高权限的用户，为UID0用户身份运行，以限制其权限范围data可以执行所有系统操作，包括创建、修改和删除任何文件和用户，以及更改系1统配置由于权限巨大，账户使用普通用户root需谨慎，避免日常使用以减少安全风险系统的日常使用者，拥有有限的权限只能管理自己的文件和运行允许的程序，无3法修改系统关键文件或配置普通用户的权限限制保护了系统的稳定性和安全性，是最小权限原则的体现用户管理的重要性系统安全资源分配用户管理是系统安全的第一道防有效的用户管理可以控制每个用线通过为每个用户设置恰当的户对系统资源的使用量通过设权限，可以有效防止未授权访问置磁盘配额、进程限制和带宽控和恶意活动适当的用户隔离确制，可以防止单个用户过度消耗保即使一个用户账户被攻破，也资源而影响其他用户合理的资不会危及整个系统定期审查用源分配保障了系统的整体性能和户权限和账户活动可以及时发现稳定性可疑行为访问控制精细的用户管理允许系统管理员实施严格的访问控制策略这不仅保护了敏感数据和关键系统组件，还符合最小权限原则，确保用户只能访问其工作所需的资源，从而减少内部威胁和意外错误的风险用户管理相关文件/etc/passwd/etc/shadow/etc/group存储系统用户账户信息的主要文存储用户密码的加密哈希值和密存储系统组信息，包含组名、GID件，包含用户名、、、主码策略信息，如密码过期时间、和组成员列表组是权限管UID GIDUnix目录和登录等基本信息该最小使用期限等此文件只有理的基础单位，允许管理员统一Shell文件对所有用户可读，因此不存用户可读，提供了比为一组用户分配相同的资源访问root储实际密码，而是使用占位符更高级别的安全性，权限，简化了用户管理和权限分/etc/passwd（通常为），真正的密码信息防止密码哈希被非授权用户访问配流程x存储在文件中和破解/etc/shadow/etc/gshadow存储组密码和管理员信息的加密文件与类似，它/etc/shadow提供了组级别的安全保障，控制哪些用户可以切换到特定组此文件也仅允许用户访问，保root护组安全信息不被泄露文件结构/etc/passwd字段说明示例用户名登录系统时使用的名称user1密码占位符通常为，表示密码存储在x x中/etc/shadow用户标识号，系统内部识别UID1001用户的唯一数字主组标识号，用户的主要组GID1001用户描述用户的全名或其他描述信息Test User主目录用户的家目录位置/home/user1登录用户登录后启动的命令解释Shell/bin/bash器文件中的每一行代表一个用户账户，各字段之间用冒号分隔理解这些字段的含义对于/etc/passwd有效管理用户账户至关重要使用、或等命令可以方便地查询和分析此文件内容cat grepawk文件结构/etc/shadow用户名1与文件中的用户名相对应，标识此密码信息属于哪个用户账户/etc/passwd加密密码2用户密码的加密哈希值使用多种可能的加密算法，如、或SHA-512SHA-256MD5如果此字段为或，表示账户已被锁定最后修改时间!*3密码最后一次修改的日期，以自年月日以来的天数表示此信息用于计算密码197011是否过期最小修改间隔4用户两次修改密码之间必须经过的最小天数设置此值可防止用户频繁更改密码后再改回原密码，绕过密码历史记录检查最大有效期5密码有效的最大天数，超过此期限用户必须更改密码设置合理的密码有效期是良好安全实践警告天数6密码过期前提前警告用户的天数，让用户有时间准备更改密码不活动期7密码过期后账户被完全禁用前的宽限天数在此期间用户仍可登录但必须立即更改密码账户过期时间8账户的绝对过期日期，同样以自年月日以来的天数表示过了这个日期，无论197011密码状态如何，账户都将被禁用文件结构/etc/group组名组的名称，用于在命令和配置文件中引用该组组名应该有描述性，反映组的用途或成员特征，如、或等developers accountingadmins组密码占位符通常为，表示组密码（如果有）存储在文件中组密码用于非组成员临x/etc/gshadow时切换到该组，但现代系统中很少使用此功能GID组标识号，系统内部识别组的唯一数字与类似，系统保留的通常低于，UID GID1000而用户自定义组的从开始在系统内必须唯一GID1000GID组成员列表属于该组的用户列表，用逗号分隔这里列出的是组的附属成员，不包括将此组设为主组的用户（那些信息在中）组成员可以共享组拥有的文件和资/etc/passwd源文件对理解系统的用户组织结构至关重要通过检查此文件，管理员可以确定哪些用户/etc/group属于特定组，从而了解资源访问权限的分配情况定期审查组成员资格是维护系统安全的重要措施用户管理基本命令系统提供了一套强大的命令行工具用于管理用户账户命令用于创建新用户，可以指定各种参数如主目录、默认等Unix useraddShell命令允许修改现有用户的属性，如组成员关系、登录或账户过期日期usermod Shell命令用于删除用户账户，可以选择同时删除用户的主目录和邮件文件命令用于设置或更改用户密码，也可以管理密码过userdel passwd期信息和账户锁定状态掌握这些基本命令是系统管理的基础技能Unix命令useradd语法和常用选项1命令的基本语法是选项用户名常用选项包括useradd useradd[]（创建用户主目录），（指定主目录路径），（指定登录-m-d-s），（指定主组），（指定附加组），（添加用户描述），Shell-g-G-c（设置账户过期日期）这些选项让管理员能够在创建用户时定制各-e种属性示例2创建标准用户（创建用户，useradd-m-s/bin/bash zhangzhang生成主目录，使用作为登录）创建系统用户/home/zhang bashShell（创建不可登录的系统用户）useradd-r-s/bin/false mysqlmysql创建临时用户（创建到useradd-m-e2023-12-31temp_user年底自动过期的临时用户）命令usermod语法和常用选项命令用于修改现有用户账户的属性，基本语法为选usermod usermod[项用户名常用选项包括（更改用户名），（更改主目录），]-l-d-m（移动主目录内容到新位置），（更改登录），（更改主组），-s Shell-g（更改附加组），（追加到附加组而不替换），（锁定账户），-G-a-L-（解锁账户）U示例更改用户（将用户的登录Shell usermod-s/bin/zsh wangwang Shell更改为）添加到新组（将zsh usermod-a-G developers,testers li用户添加到和组，保留现有组成员关系）锁定账户li developerstesters（暂时禁止用户登录系统）更usermod-L inactive_user inactive_user改用户名（将用户名从更usermod-l new_name old_name old_name改为）new_name命令userdel语法和常用选项注意事项示例命令用于删除用删除用户时要格外谨慎，基本删除userdel userdel户账户，基本语法为特别是系统用户未指（仅删除用户zhang选项用户名定选项时，用户的主的账户信息，保userdel[]-r zhang主要选项包括（删目录和邮件将保留，可留主目录）完全删除-r除用户的主目录和邮件能导致文件所有权问题（删userdel-r zhang池），（强制删除，使用选项可能导致数除用户的账户信-f-f zhang即使用户仍然登录）据丢失，只有在必要时息和主目录）强制删在删除用户前，应确保才使用建议先使用除userdel-f-r已备份或转移其重要数锁定账户，（强制完usermod-L problem_user据，因为删除操作不可确认无影响后再删除全删除用户，即使存在撤销阻止因素，谨慎使用）命令passwd语法和常用选项1命令用于设置或更改用户密码，基本语法为选项用户名如果passwd passwd[][]不指定用户名，则更改当前用户的密码常用选项包括（锁定密码），（解锁-l-u密码），（删除密码），（强制下次登录时更改密码），（设置最短使用期-d-e-n限），（设置最长有效期），（设置警告天数）-x-w普通用户使用2普通用户只能更改自己的密码，且通常需要先输入当前密码验证身份系统会强制执行密码复杂度要求，如最短长度、字符多样性等密码不会显示在屏幕上，且系统会要求输入两次以防拼写错误更改密码后需要一段时间才能在所有系统服务中生效管理员使用3用户可以不知道用户当前密码就能更改任何用户的密码还可以使用各种选项管root理密码策略，例如（强制下次登录时必须更改密码），passwd-e user1user1（锁定账户，暂时禁止登录），passwd-l user2user2passwd-x90-n7-w7（设置的密码有效期为天，最短使用期天，过期前天开始警告）user3user39077组管理基本命令groupadd groupmodgroupdel用于创建新的用户组，可指定组用于修改现有组的属性可以更改组名称用于删除用户组语法简单IDGID groupdel和其他属性例如或例如组名例如删groupadd GID groupmod-n groupdeltemp_group创建一个名为的新将组名从除名为的组系统不允许删developers developersnew_name old_name temp_group组，系统自动分配下一个可用的更改为除作为任何用户主组的组，必须先修改这GID old_name new_name创将些用户的主组或删除这些用户删除组不groupadd-g2000project_team groupmod-g2500project_team建一个为的组系统组可使用组的更改为修会影响属于该组的文件，这些文件将保留GID2000project_team GID2500选项创建，将自动分配低于改可能需要同时更新相关文件的所有其编号，但显示时可能无法解析为组groupadd-r GIDGID的权，特别是当有多个文件属于该组时名1000GID命令groupadd语法和基本用法命令的基本语法是选项组名创建组时，如果不指定groupadd groupadd[]特定选项，系统会使用默认值分配下一个可用的，不设置组密码，不添加GID初始成员组名必须符合系统规则，通常不超过个字符，不包含特殊字符，且32不能与现有组名重复常用选项手动指定组，必须是唯一的正整数创建系统组，通常-g GIDID-r GID小于强制模式，即使指定的已存在也尝试创建（会导致警1000-f GID告）覆盖默认值，如设置中定义的-K KEY=VALUE/etc/login.defs范围允许非唯一（不推荐，可能导致权限混乱）GID-o GID示例创建普通用户组创建指定的组groupadd developersGID创建系统组groupadd-g3000project_a groupadd-r mysql强制创建组成功创建组后，groupadd-f-g5000special_group可以使用命令添加成员或使用命令将用户添加到该组gpasswd usermod命令groupmod修改组名修改组其他修改选项ID使用选项可以更改组的名称而不影响其使用选项可以更改组的，基本语法为也支持选项（允许非唯一）-n-g GID groupmod-o GID，基本语法为新组名新组名例如和选项（设置组密码，不常用）例如GIDgroupmod-n groupmod-g GID-p原组名例如将groupmod-n groupmod-g3500engineering groupmod-p encrypted_password将名为组的更改为更修改系统组时要特别小心，engineering developers engineering GID3500group_name的组重命名为改后，需要手动更新文件系统中属于该不当的更改可能导致系统服务无法正常工作developersengineeringGID所有属于该组的文件和用户关系都会保持不组的文件，可以使用和命令最佳实践是在进行重要更改前创建系统备份，find chgrp变，因为系统内部仍然使用相同的标识旧新并在非高峰时段执行更改GID find/-gid GID-exec chgrpGID此组{}\;命令groupdel基本语法使用限制命令的语法非常简单groupdel不能删除作为任何用户主组的组如果尝组名该命令没有多余的选项，groupdel试删除这样的组，系统会显示错误解决1因为删除组的操作很直接例如方法是先将用户的主组更改为其他组，或2将删除名为groupdel project_temp完全删除该用户后再删除组的组project_temp最佳实践执行后果删除组前先检查组成员和文件所有权使4删除组后，该组拥有的文件不会被删除，用查看grep group_name/etc/group但其将无法解析为组名这些文件将3GID组信息，find/-group group_name显示数字而非组名，应及时更改这些GID找出属于该组的文件，确保不会影响系统文件的组所有权运行用户和组管理实践创建新用户完整流程）创建用户开发人员；）设置密码；）将用户添加到组1useradd-m-s/bin/bash-cdev_user2passwd dev_user3usermod-；）检查用户信息创建完用户后，通知用户初始密码并要求首次登录时更改密码是良好实践a-G developers,docker dev_user4id dev_user修改用户属性常见修改包括更改主目录；更改登录；修改用户描述usermod-d/newhome/user1-m user1Shell usermod-s/bin/zsh user1usermod高级开发人员；更改用户过期日期；锁定账户或-cdev_user usermod-e2023-12-31temp_user usermod-L user1passwd-l user1删除用户安全删除流程）备份用户数据；）检查用户拥有的文件；）锁定账户1tar-czvf user1_backup.tar.gz/home/user12find/-user user13；）确认无影响后删除；）检查是否遗留文件原passwd-l user14userdel-r user15find/-uid UID组管理操作完整流程）创建新组；）将用户添加到组；）修改组名或1groupadd project_a2usermod-a-G project_a user1user23GIDgroupmod；）删除不再需要的组；）查看组成员-n new_name old_name4groupdel project_b5grep project_a/etc/group用户密码策略密码复杂度要求密码有效期设置实施强密码策略，包括最小长度要求（通常至定期更换密码可减少被破解风险设置项包括少个字符）、字符多样性（大小写字母、最大有效期（，通常8-12PASS_MAX_DAYS60-数字、特殊字符）、避免常见词或用户信息、天）、最小使用期（，190PASS_MIN_DAYS禁止重复字符或简单序列模块如防止立即更改回旧密码）、过期警告期PAM2或可强制执行（，提醒用户密码即将过pam_pwquality pam_cracklib PASS_WARN_AGE这些要求期）账户锁定策略密码历史记录防止暴力破解攻击设置连续失败登录次数限4防止用户循环使用少数几个密码通过PAM制（通常次），超过后临时锁定账户模块如设置，记住最近3-53pam_pwhistory5-（分钟）或需管理员手动解锁可通过个密码并禁止重用可配置密码历史大小5-3010模块如或实和检查方法（哈希比较或完全匹配）需要在PAM pam_tally2pam_faillock现，记录失败尝试并执行相应行动下的相关配置文件中设置/etc/pam.d/设置密码策略文件模块配置/etc/login.defs PAM该文件包含系统范围的用户和密码设置，关键参数包括可插拔认证模块提供更灵活的密码策略控制主要配置文PAM（密码最大有效天数）、件位于目录，特别是文件控PASS_MAX_DAYS PASS_MIN_DAYS/etc/pam.d/common-password（密码修改最小间隔天数）、（密码最小长度，制密码策略常用模块包括PASS_MIN_LEN PAM现代系统通常由模块控制）、（密码过（密码复杂度检查）、PAM PASS_WARN_AGE pam_pwquality/pam_cracklib期前警告天数）其他重要设置包括（普通（密码历史记录）、UID_MIN/UID_MAX pam_pwhistory用户范围）和（是否自动创建主目录）（登录失败处理）UID CREATE_HOME pam_faillock/pam_tally2配置示例password requisitepam_pwquality.so retry=3修改此文件后，更改仅对新创建的用户生效，现有用户需使用minlen=12ucredit=-1lcredit=-1dcredit=-1ocredit=-命令单独更新例如，要求密码至少个字符，且必须包含大小写字母、数字和特chage chage-M90-m7-W7112殊字符username用户登录控制登录超时设置登录失败处理12为防止未使用的终端会话被未授权访问，通过模块如或PAM pam_tally2设置自动超时机制非常重要可以通过修配置登录失败策略典型pam_faillock改文件添加环境变配置通常是连续失败次后锁定账户一/etc/profile TMOUT3-5量实现，例如段时间配置在下的系统export TMOUT=900/etc/pam.d/（设置分钟无活动后自动登出）对认证文件中，例如15auth required于连接，可在SSH pam_tally

2.so deny=5中设置（次失败尝试后/etc/ssh/sshd_config unlock_time=18005和锁定分钟）管理员可以使用ClientAliveInterval30参数控制会话超ClientAliveCountMax pam_tally2--user=username--时此外，可以使用终端的手动重置失败计数器有效的失败reset设置或等处理可大大降低暴力破解风险AUTOLOGOUT screen/tmux工具的超时功能登录日志记录3系统自动记录所有登录尝试，成功和失败的都会记录主要日志文件包括或（取决于发行版）使用命令可查看成功登录记/var/log/auth.log/var/log/secure last录，查看失败登录记录日志分析对发现可疑活动至关重要，建议配置日志轮转以防日lastb志文件过大，并考虑使用日志监控工具如自动拦截可疑fail2ban IP用户权限管理文件权限概念权限类型文件权限系统基于用户、组和其他系统定义了三种基本权限类型读Unix Unix用户三个级别，控制谁可以访问文件以查看文件内容或列出目录内容；写r及如何访问每个文件和目录都有与之修改文件内容或在目录中创建、删w关联的权限集，决定了不同用户可以对除文件；执行运行文件（如脚本或x其执行的操作这种权限模型是安程序）或访问目录内容这些权限可以Unix全架构的基础，通过将用户分类并分配组合使用，例如，表示完全权限，rwx适当权限，实现了细粒度的访问控制表示只读权限权限可以用符号表r--示法或等效的数字表示法rwxr-xr--表示754所有者关系每个文件或目录都有三种所有者关系用户所有者通常是创建文件的用户，对user文件有最直接的控制权；组所有者与文件关联的用户组，允许多个相关用户group共享相似权限；其他用户系统中的所有其他用户这种分层结构使管理员能others够精确控制谁可以访问特定资源，同时避免手动为每个用户单独设置权限的复杂性文件权限表示方法符号表示法（）数字表示法（）rwx0-7使用字母组合表示权限，更直观易读权限以三组三字符显示，使用八进制数字表示权限，更适合编程和脚本使用每种权限对分别代表用户、组和其他用户的权限每组中，表示应一个数值读，写，执行将每组权限的数u go rr=4w=2x=1读权限，表示写权限，表示执行权限，表示没有相应权值相加，得到一个之间的数字，三组权限分别用三个数字表w x-0-7限例如，表示用户有读、写、执行权限；组有示例如，转换为数字表示法是rwxr-xr--rwxr-xr--读、执行权限；其他用户只有读权限用户权限；组权限；其他用r4+w2+x1=7r4+x1=5使用命令时，权限显示为个字符，第一个字符表示文件类户权限因此完整表示为数字表示没有任何ls-l10r4=47540型（如表示普通文件，表示目录，表示符号链接），后权限，表示完全权限这种表示方法简洁明了，常用于-d l7chmod面个字符是权限设置命令中设置权限9命令chmod语法和基本用法命令用于更改文件或目录的权限，基本语法为选项模式文件目录chmod chmod[]/模式可以使用符号表示法或数字表示法符号表示法格式为用户类型操作权限，[][][]例如表示给用户所有者添加执行权限数字表示法直接使用三位八进制数，如u+x表示用户具有读写执行权限，组和其他用户具有读和执行权限755常用选项（递归）对指定目录及其所有子目录和文件应用权限更改；（强制）即使-R-f出错也不显示错误信息；（详细）显示每个处理的文件的权限更改；-v--参考文件使用参考文件的权限设置目标文件的权限这些选项可以组reference=合使用，例如同时启用递归和详细输出模式-Rv使用示例使用符号表示法（给用户添加执行权限）；chmod u+x script.sh chmod（给组添加写权限，移除其他用户的读权限）；g+w,o-r file.txt chmoda+r（给所有用户添加读权限）使用数字表示法document.pdf chmod755（设置权限）；script.sh rwxr-xr-x chmod-R644（递归设置目录中所有文件为权限）/home/user/documents rw-r--r--命令chown语法和用途常用选项12命令用于更改文件或目录的所有（递归）对指定目录及其所有内容chown-R者和组，基本语法为选项所应用所有权更改，常用于处理整个目录树；chown[]有者组文件目录可以只更改所有（详细）显示所有权更改的详细信[:]/-v者、只更改组或同时更改两者例如，息；（变更）仅显示实际发生变化-c仅更改所有者为的文件；参考文件使用chown user1file.txt--reference=；参考文件的所有权设置目标文件；user1chown user1:group1file.txt-h同时将所有者更改为，组更改为（链接）更改符号链接本身的所有权，user1；只将而非其指向的文件正确使用这些选项可group1chown:group1file.txt组更改为，保留原所有者不变以提高命令执行效率和可控性group1使用示例3基本用法（将的所有者更改为）；chown zhangfile.txt file.txt zhangchown（将目录的所有者更改为，组更改为zhang:developers project/project zhang）；（递归更改数据目录及developers chown-R mysql:mysql/var/lib/mysql MySQL所有内容的所有权）；（将的所有权设置chown--reference=file

1.txt file

2.txt file

2.txt为与相同）file

1.txt命令chgrp功能和用途常用选项使用示例命令专门用于更改文件（递归）对指定目录及其基本用法chgrp-R chgrpdevelopers或目录的组所有权，是所有子目录和文件应用组所有（将的chown project.py project.py命令的简化版本当只需要更权更改；（详细）显示所组更改为）；-v developers改组而不更改用户所有者时，有正在处理的文件；（变-c chgrp-R webmasters使用更直观基本语法更）仅显示实际发生变化的（递归更改chgrp/var/www/html为选项组名文件文件；（链接）更改符号网站目录及所有文件的组为chgrp[]/-h目录组名必须是系统中已存链接本身的组所有权，而不是）；webmasters chgrp--在的组，可以在文其指向的文件；/etc/group--reference=reference=file

1.txt file

2.txt件中找到或使用创参考文件使用参考文件的组（将的组设置为与groupadd file

2.txt建所有权设置目标文件相同）；file

1.txt find/home/user-type f-name*.php-exec chgrp（将用户目录php-dev{}\;下所有文件的组更改为PHP）php-dev特殊权限（设置用户）SUID ID当应用于可执行文件时，使该文件在执行过程中以其所有者的身份运行，而不是执行用户的身份符号表示为代替用户权限中的，s x1数字表示为在普通权限前加，如典型示例是命令，允许普通用户修改（通常只有可写）设置方44755passwd/etc/shadow root法或滥用可能导致权限提升漏洞chmod u+s filechmod4755file SUID（设置组）SGID ID应用于可执行文件时，使程序以文件组的权限运行；应用于目录时，在该目录中创建的新文件会继承目录的组所有权，而不是创建用户的主组符号表示为代替组权限中的，数字表示为在普通权限前加，如2s x2常用于实现组共享目录，如使所有成员创建的文件都属于同一组，便于2755SGID chmodg+s/shared协作（粘滞位）Sticky Bit主要应用于目录，防止用户删除或重命名不属于他们的文件，即使他们对目录有写权限符号表示为在其他用户权限的位置显示，数字表示为在普通权限x t3前加，如典型应用是目录，允许所有用户创建文件，但只能删11777/tmp除自己的文件设置方法或，chmod+t directorychmod1777directory是多用户环境中保护共享目录的重要机制访问控制列表（）ACL什么是ACL1访问控制列表（）是标准权限系统的扩展，允许为特定用户或组分配ACL Unix更精细的权限传统的用户组其他模型只允许设置三个级别的权限，而--的优势可以为任意数量的用户和组单独设置权限，同时保持与传统权限系统的兼容2ACLACL性解决了复杂权限需求下传统模型的局限性ACL提供了显著的灵活性可以为不属于文件组的特定用户分配权限；可以为多ACL个不同组设置不同权限级别；保留了简单权限系统的所有功能；允许更精确的权限管理，无需创建专用组；便于实现复杂的共享方案和协作环境在多用户ACL设置和查看ACL3服务器和需要复杂权限结构的环境中特别有用使用命令查看文件的使用命令设置getfacl ACLgetfacl filenamesetfacl权限（给特定用户设置权限）；ACL setfacl-m u:user:rwx filesetfacl-m（给特定组设置权限）；（删除特定用户g:group:rx filesetfacl-x u:user file的条目）；（递归设置目录及其内容ACL setfacl-R-m u:user:rx directory的）ACL机制sudo临时特权执行无需长期身份1root精细权限控制2限制特定命令和参数完整审计记录3所有命令和操作可追溯最小权限原则4只授予必要的特权（）是系统中一种授权机制，允许系统管理员给普通用户分配特定的管理任务执行权限，而不必共享密码的核心价值在于实现了最小sudo superuserdo Unixroot sudo权限原则，让用户仅获得完成工作所需的最小权限集配置权限通过编辑文件实现，应始终使用命令进行编辑，它会检查语法错误，防止锁定系统基本语法为用户主机命令，例如sudo/etc/sudoers visudo=zhang允许用户在任何主机上以任何用户身份执行命令可以设置是否需要密码、命令别名、用户组和超时等高级选项ALL=ALL/usr/bin/apt zhangapt命令su切换用户身份（）命令用于在不注销当前会话的情况下切换到另一个用户身份基su switchuser本语法为选项用户名如果不指定用户名，默认切换到用户例如su[][]root切换到用户，或切换到用户非用户执行su zhangzhang su-su-root rootroot su时需要输入目标用户的密码，而用户可以不输入密码切换到任何用户root和的区别su su-这两个命令有重要区别仅切换用户身份，但保留当前的环境变量、工su username作目录和设置；（或）完全切换到新用户环境，shell su-username su-l username包括加载目标用户的环境变量、切换到其主目录、执行其登录脚本在管理工作中，使用通常更安全，可避免环境变量不一致导致的问题su-安全注意事项使用命令涉及重要安全考虑避免直接使用获取权限，优先考虑；使用su suroot sudo后及时返回普通用户身份；注意共享终端时的可视性问题，确保密码输入不被su exit观察；的使用会记录在系统日志中，但不如详细；在多用户系统中，管理员应su sudo定期检查使用情况，发现可疑模式；考虑使用限制哪些用户可以使用命令su PAMsu。