#1：runuser命令

runuser命令使用一个替代的用户或者组ID运行一个Shell。这个命令仅在root用户时有用。

仅以会话PAM钩子运行，并且没有密码提示。如果用一个非root用户，并且该用户没有权限设置user ID，这个命令将会因为程序没有setuid而失败。因runuser不会运行认证和账户PAM钩子，它比su更底层。

语法：

	
	

		runuser -l userNameHere -c 'command'  
	

	

		runuser -l userNameHere -c '/path/to/command arg1 arg2'  
	

举例来说，作为一个root用户，你也许想检查下oracle用户下的shell资源限制，输入：

	
	

		# runuser -l oracle -c 'ulimit -SHa'  
	

或者监察下nginx或lighttpd web服务器限制：

	
	

		# runuser -l nginx -c 'ulimit -SHa'  
	

或

	
	

		# runuser -l lighttpd -c 'ulimit -SHa'  
	

有时，root用户由于权限（安全）问题不能浏览NFS挂载的共享：

	
	

		# ls -l /nfs/wwwroot/cyberciti.biz/http  
	

或者

	
	

		# cd /nfs/wwwroot/cyberciti.biz/http  
	

可能的输出：

	
	

		-bash: cd: /nfs/wwwroot/cyberciti.biz/http/: Permission denied  
	

尽管如此，apache用户被允许浏览或访问挂载在/nfs/wwwroot/cyberciti.biz/http/下基于nfs的系统：

	
	

		# runuser -l apache -c 'ls -l /nfs/wwwroot/cyberciti.biz/http/'  
	

或者

	
	

		# runuser -l apache -c 'cd /nfs/wwwroot/cyberciti.biz/http/; vi index.php'  
	

使用runuser命令，无需使用密码，并且，只能在root用户下使用。

可用选项：

1. -l： 让shell成为登录shell，用 runuser -l PAM 文件替代默认的

2. -g：指定主要的组

3. -G 追加组

4. -c：命令，要传到shell的单个命令

5. --session-command=COMMAND：使用-c传递单个命令道shell中并且不创建新的会话

6. -m： 不重置环境变量。

#2：su命令

su命令允许你成为一个超级用户或者替代用户（substitute user），欺骗用户（spoof user），设置用户（set user）或者切换用户（switch user）。它允许一个Linxu用户切换当前用户到那些你知道密码的目标用户，切换包括与之关联的运行中的控制台（console）或者Shell，它的语法如下：

	
	

		su -  
	

	

		su - username  
	

切换到root用户

su命令会询问目标用户的密码，在你的shell命令行中输入 su - 来切换到root用户（你必须知道root用户的密码）：

	
	

		vivek@wks01:~$ su -  
	

或者

	
	

		vivek@wks01:~$ su - root  
	

输出示例：

	
	

		Password:  
	

	

		root@wks01:/root# logout  
	

	

		vivek@wks01:~$  
	

如果输入了正确的root密码，会话的所有权（这里应该指当前控制台的上下文——译注）将改为root账户。输入logout可以退出一个root登录的shell，输入 whoami或者id命令来验证当前会话的所有者：

	
	

		whoami  
	

用root账户运行命令

语法是：

	
	

		su - root -c "command"  
	

	

		# OR  
	

	

		su - -c "command arg1"  
	

查看/root目录下的内容，这些原本是普通用户无法访问的，运行：

	
	

		su - root -c "ls -l /root"  
	

需要注意的是，Linix和一些Unix-like系统有一个wheel用户组，并且只允许这个组内的用户使用su切换到root。

使用su命令来让其他用户运行命令

下面这个命令是切换到oracle的账户，并且显示限制清单：

	
	

		$ su - oracle -c 'ulimit -aHS'  
	

同样， 如果提供了正确的oracle密码，会话所有权将会变成oracle账户。su命令的日志保存在系统日志中，一般是在/var/log/auth.log（Debian/Ubuntu）或者/var/log/secure（RHEL/CentOS）。

#3：sudo命令

sudo以另外的用户来执行一个命令，但是它跟着一组关于那些用户可以以那些其他用户执行那些命令的规则（有点绕口——译注）。这个规则在/etc/sudoers这个文件中被定义。不像su，sudo验证用户是靠用户自己的密码而不是那个要切换的用户密码。当提供一个审计跟踪命令和他们的参数时（原文：...whileproviding an audit trail of the commands and their arguments——译注）sudo允许一个系统管理员给某些用户（或用户组）委派以root或其他用户来运行某些（或全部）命令的权限。这允许无需在用户之间共享密码就可以在指定宿主上将指定命令委派给指定用户。语法如下：



sudo 其实还是挺方便的

在学习Linux操作系统中我们经常遇到一些问题，怎样才能解决这些Linux操作系统问题，比如说让普通用户安全执行管理员程序。本文为你介绍。

在多人共用一台电脑或管理局域网时，常常会遇到这种情况：普通用户必须执行某个命令，比如关机。但普通用户却不具备足够的权限，而出于隐私和安全的考虑我们又不希望把root密码告诉别人。

有两种方法可以解决这一问题。

第一种方法是设置命令文件的suid，可以使普通用户以此文件的拥有者的身份运行该程序，具体命令为 chmod u+s file ，file为你想让别人执行的文件。还可以设置guid，让用户以文件所属组的身份运行程序，命令为 chmod g+s file。

第二种方法是使用sudo程序，它可以使某个用户以特定的身份去运行程序，当然也能以root身份去运行，它相比第一种方法更安全也便于维护。在RedHat发行版的光盘里就有这个工具。使用方法为，在终端中输入visudo编辑sudoers文件，在空白处添加以下四行：
Host_Alias MYHOST=localhost
User_Alias MYUSER=A的用户名，B的用户名
Cmnd_Alias MYFILE=A和B要运行的程序路径
MYUSER MYHOST=NOPASSWD：MYFILE

注意大小写，以后要增加新的程序或用户时，直接更改前三行即可。如果要让某个不知道root密码的用户具有全部权限，除了运行某些危险程序（如格式化），只需增加：

Cmnd_Alias DANGER=危险程序的路径

C的用户名 ALL=(ALL) NOPASSWD：ALL，！DANGER

设置完成后，和vi一样保存退出，编辑器会自动检查你的语法是否正确，如果出错按 e 可以回去修改。然后该用户即可以“sudo+空格+某命令”的格式运行具体命令了。