su是英文“s'witch user”的縮寫，即切換用戶之意。
su和su 指令加上“-”參數(shù)的區(qū)別：
su指令不加任何參數(shù)，默認(rèn)切換到root，但沒(méi)有轉(zhuǎn)到root用戶家目錄，這時(shí)雖然切換為root用戶了，但并沒(méi)有切換到root的登陸環(huán)境（shell，環(huán)境變量），不能獲取環(huán)境變量。su加上參數(shù)“-”是切換到用戶root的登陸環(huán)境，獲取root的環(huán)境變量及執(zhí)行權(quán)限（切換到用戶的變量）

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供遜克網(wǎng)站建設(shè)、遜克做網(wǎng)站、遜克網(wǎng)站設(shè)計(jì)、遜克網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、遜克企業(yè)網(wǎng)站模板建站服務(wù)，10多年遜克做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

su是轉(zhuǎn)換到終極權(quán)限r(nóng)oot后對(duì)權(quán)限沒(méi)有限制行（su默認(rèn)切換到root用戶），sudo能把某些終極權(quán)限有針對(duì)性的下放，并且用戶不用知道root密碼，執(zhí)行歷程是當(dāng)前用戶切換到root，然后以root身份執(zhí)行命令，執(zhí)行完后直接退回當(dāng)前用戶。通過(guò)sudo配置文件“/etc/sudoers”進(jìn)行授權(quán)。
sudo能夠限制用戶只在某臺(tái)主機(jī)上運(yùn)行某些命令。
sudo提供了豐富的日志，詳細(xì)記錄了每個(gè)用戶做了什么，能夠轉(zhuǎn)到中心主機(jī)或日志服務(wù)器
sudo使用時(shí)間戳來(lái)文件來(lái)執(zhí)行類似的“”檢票“系統(tǒng)。當(dāng)用戶調(diào)用sudo并輸入它的密碼時(shí)，用戶獲得一張存活期為5分鐘的票（此值可在編譯時(shí)指定）
sudo的配置文件是sudoers文件，它允許系統(tǒng)管理員集中的管理用戶的使用權(quán)限和使用主機(jī)。位置/etc/sudoers，它的屬性必須為0411。
sudo命令用來(lái)以其他身份來(lái)執(zhí)行的命令，預(yù)設(shè)的身份為root
sudo與su的不同之處在于sudo僅在需要時(shí)授予用戶權(quán)限，減少了用戶因?yàn)殄e(cuò)誤執(zhí)行損壞系統(tǒng)的可能性，sudo也可以用來(lái)以其他用戶身份執(zhí)行命令。此外sudo可以記錄用戶執(zhí)行的命令，以及失敗的特權(quán)獲取

sudo的配置文件：
sudo的配置文件是”/etc/sudoers“，不強(qiáng)烈建議直接編輯這個(gè)文件，而是通過(guò)visudo來(lái)編輯，因?yàn)槭褂胿isudo編輯后保存會(huì)進(jìn)行語(yǔ)法檢測(cè)，有問(wèn)題會(huì)提示，避免出錯(cuò)。

別名記錄在配置文件當(dāng)中有四種：
Host_Alias
Cmnd_Alias
User_Alias
Runas_Alias
2：sudo的使用方法

首先我們分析一些字段

這句話的意思是說(shuō):
用戶lifeng在mail這臺(tái)服務(wù)器上可以以用戶root的身份運(yùn)行/usr/sbin/useradd這個(gè)命令
添加這一行 lifeng ALL=/usr/sbin/useradd

4.語(yǔ)法：

sudo [ -Vhl LvkKsHPSb ] │ [ -p prompt ] [ -c class│- ] [ -a auth_type ] [-u username│#uid ] command
5.參數(shù)：

-V
顯示版本編號(hào)
-h
會(huì)顯示版本編號(hào)及指令的使用方式說(shuō)明
-l
顯示出自己（執(zhí)行 sudo 的使用者）的權(quán)限
-v
因?yàn)?sudo 在第一次執(zhí)行時(shí)或是在 N 分鐘內(nèi)沒(méi)有執(zhí)行（N 預(yù)設(shè)為五）會(huì)問(wèn)密碼，這個(gè)參數(shù)是重新做一次確認(rèn)，如果超過(guò) N 分鐘，也會(huì)問(wèn)密碼
-k
將會(huì)強(qiáng)迫使用者在下一次執(zhí)行 sudo 時(shí)問(wèn)密碼（不論有沒(méi)有超過(guò) N 分鐘）
-b
將要執(zhí)行的指令放在背景執(zhí)行
-p
prompt 可以更改問(wèn)密碼的提示語(yǔ)，其中 %u 會(huì)代換為使用者的帳號(hào)名稱， %h 會(huì)顯示主機(jī)名稱
-u
username/#uid 不加此參數(shù)，代表要以 root 的身份執(zhí)行指令，而加了此參數(shù)，可以以 username 的身份執(zhí)行指令（#uid 為該 username 的使用者號(hào)碼）
-s
執(zhí)行環(huán)境變數(shù)中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell
-H
將環(huán)境變數(shù)中的 HOME （家目錄）指定為要變更身份的使用者家目錄（如不加 -u 參數(shù)就是系統(tǒng)管理者 root ）
command
要以系統(tǒng)管理者身份（或以 -u 更改為其他人）執(zhí)行的指令

6. sudo -i 切換用戶身份到root

日志追蹤：

2.1.創(chuàng)建sudo.log文件
touch /var/log/sudo.log
2./etc/rsyslog.conf配置文件最后面添加一行
local2.debug /var/log/sudo.log #空白處不能用空格鍵,必需用tab鍵
3./etc/ sudoers配置文件最后添加如下
Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog
4.重啟syslog服務(wù)
[root@localhost .ssh]# service rsyslog restart
或者 /etc/init.d/rsyslog restart
5.確定進(jìn)程
[root@localhost .ssh]# ps -aux |grep rsyslog
6.測(cè)試
測(cè)試賬戶使用sudo命令，在root用戶查看是否有記錄
[root@localhost .ssh]# tail -f /var/log/sudo.log