Linux系统管理入门：用户、组与权限管理

在Linux系统中，用户和组管理以及权限管理是Linux系统中非常重要的概念。用户和组管理涉及到用户的创建、修改、删除以及所属组的设置等操作，而权限管理则涉及到文件和目录的访问权限设置。本文将详细介绍Linux系统中用户与组管理以及权限管理的相关知识，帮助读者更好地理解和掌握Linux系统管理的基本概念和操作。

# 1、用户与组管理

**用户**

- 任何用户被分配一个独特的用户id号(UID)
- UID 0 标识root用户，0-999为系统用户
- 普通用户帐号通常从UID 1000 开始
- 用户名和UID信息通常存储在／etc/passwd文件中
- 当用户登录时它被分配一个主目录并且运行一个程序(通常是一个shell程序）
- 没有权限许可用户不能读取、写或者执行其他用户的文件

**组**

- 用户必须属于一个组
- 每一个组被分配一个独特的组ID(gid)
- gid信息保存在／etc/group中
- 每一个用户都有自己的私有组
- 可以将用户添加到别的组，该组称为用户的附加组
- 同—个组中的所有用户能共享属于这个组的文件

## 1.1、用户与组相关文件

以下两个文件可以说是Linux系统中最重要的文件之一。如果没有这两个文件或者这两个文件出了问题，则无法正常登录系统。下面咱们先来看看/etc/passwd文件。

**（1）`/etc/passwd` 用户账号信息**

![](https://oss.zhoumx.net/img/rhce/File09.png)

- 字段1: 用户名称
- 字段2: 密码占位符”x"，早期的Unix系统口令确实存放在这里，但基于安全因素，后来就将其存放到/etc/shadow中了，这里只用一个x代替。（当x不存在时可以直接登录系统不需要验证密码，在RHEL8中仅对root用户有效）
- 字段3: 用户帐号的UID号，0是超级用户（root）的标识号，普通用户标识号从1000开始。如果我们自定义建立一个普通用户，你会看到该账户的标识号是大于或等于1000的。
- 字段4: 用户的私有组
- 字段5: 用户描述信息(显示在登录屏幕)，没有实际意义
- 字段6: 用户的家目录，当用户登录时，就处在这个目录下。root的家目录是/root，普通用户的家目录则为/home/username，用户家目录是可以自定义的。
- 字段7: 登录Shell信息，用户登录系统以后运行的第一个程序(shell程序)
  - `/bin/bash`
  - `/bin/nologin` 禁止登录，用户不能登录可以使用`su -s`临时指定登录shell程序，让其可以登录（仅root权限）

**（2）`/etc/shadow` 用户密码信息**

![](https://oss.zhoumx.net/img/rhce/File11.png)

- 字段1 :用户帐号的名称
- 字段2: 加密的密码字串信息($6表示使用hash512，$1 md5，$5 hash256，如果是!!或*表示没有设置密码)
- 字段3: 最近—次修改密码的时间，表示从1970.01.01至今的天数
- 字段4: 密码的最短有效期，默认值为0，一直有效
- 字段5: 密码的最长有效期，默认值为99999；例如，这里设置成30，则30天内必须更改一次密码；否则，将不能登录系统。
- 字段6：密码即将到期警告天数，默认值为7
- 字段7: 在密码过期之后账号保持活动的天数，指定天数后账号被锁定，无法登录；如果这个值设置为3，则表示密码已经到期，然而用户并没有在到期前修改密码，那么再过3天，这个账号便失效，即锁定。
- 字段8: 帐号失效时间，默认值为空，以1970.01.01的天数表示，失效后删除账号
- 字段9:保留字段（未使用）

手动生成密码密文

```Bash
# hash512加密
$ openssl passwd -6 redhat

# md5加密
$ openssl passwd -1 redhat

# hash256加密
$ openssl passwd -5 redhat

# base64加密
$ echo -n 'redhat' | base64
```

**（3）`/etc/group` 组账号信息**

![](https://oss.zhoumx.net/img/rhce/File10.png)

- 字段1: 组的名称
- 字段2: 密码占位符”x"
- 字段3: 组的ID号
- 字段4: 该组是user1, user2和user3 的附加组

其他相关文件

```Bash
/etc/gshadow 组密码信息
/etc/skel/ 创建用户时拷贝的家目录文件存放位置
/etc/default/useradd useradd创建用户时默认配置文件
/etc/login.defs 创建用户时默认配置文件
    例如文件中指定新用户邮件目录为/var/spool/mail
    例如文件中指定新用户密码最短、最长使用天数、警告天数、UMASK等等；
```

![](https://oss.zhoumx.net/img/rhce/File08.png)

## 1.2、useradd命令

用于Linux中创建的新的系统用户。useradd可用来建立用户帐号。帐号建好之后，再用passwd设定帐号的密码．而可用userdel删除帐号。使用useradd指令所建立的帐号，实际上是保存在`/etc/passwd`文本文件中。

**语法**

```shell
useradd(选项)(参数)
```

**选项**

```Bash
useradd     创建用户
            -p 指定加密后的密码（openss passwd -6 123123）
            -u 指定uid
            -g 指定私有组gid
            -c 指定描述信息
            -d 指定家目录
            -s 指定shell
            -o 允许复用uid
            -f 设置宽限天数
            -e 设置账户过期日期
            -m 创建家目录
            -M 不创建家目录
            -N 不创建同名的组
            -G 指定附加组
            -D 显示/etc/default/useradd信息
```

**参数**

用户名：要创建的用户名。

示例

```bash
# 新建用户加入组：
$ useradd –g sales jack –G company,employees    # -g：加入主要组、-G：加入次要组

# 建立一个新用户账户，并设置UID：
$ useradd caojh -u 544
```

## 1.3、usermod命令

用于修改用户的基本信息。usermod 命令不允许你改变正在线上的使用者帐号名称。当 usermod 命令用来改变user id，必须确认这名user没在电脑上执行任何程序。你需手动更改使用者的 crontab 档。也需手动更改使用者的 at 工作档。采用 NIS server 须在server上更动相关的NIS设定。

**语法**

```shell
usermod(选项)(参数)
```

**选项**

```Bash
usermod     修改用户信息
            -p 修改加密后的密码（openss passwd -6 123123）
            -u 修改uid
            -g 修改gid
            -c 修改描述信息（登录时所显示的名称）
            -d 修改家目录
            -s 修改shell
            -o 允许复用uid
            -f 修改宽限天数
            -e 修改账户过期日期
            -l 修改登录名
            -m 移动家目录（常与-d一起使用）
            -G 修改附加组（带-a追加添加至新组，不删除之前所在附加组，rhel8之前必须-aG）
            -L 锁定用户账号（可使用passwd -u 解锁）
            -U 解锁用户账号
```

**参数**

登录名：指定要修改信息的用户登录名。

**示例**

```bash
# 将 newuser2 添加到组 staff 中：
$ usermod -G staff newuser2

# 修改newuser的用户名为newuser1：
$ usermod -l newuser1 newuser
```

## 1.4、userdel命令

用于删除给定的用户以及与用户相关的文件

**语法**

```shell
userdel(选项)(参数)
```

**选项**

```Bash
userdel     删除用户
            -r 删除家目录与邮件目录/var/spool/mail
            -f 强制删除在线用户
```

**参数**

用户名：要删除的用户名。

示例

```bash
# 删除用户linuxde，但不删除其家目录及文件；
$ userdel linuxde

# 删除用户linuxde，其家目录及文件一并删除；
$ userdel -r linuxde
```

请不要轻易用`-r`选项；他会删除用户的同时删除用户所有的文件和目录，切记如果用户目录下有重要的文件，在删除前请备份。

## 1.5、passwd命令

用于设置用户的认证信息，包括用户密码、密码过期时间等。系统管理者则能用它管理系统用户的密码。只有管理者可以指定用户名称，一般用户只能变更自己的密码。

**语法**

```shell
passwd(选项)(参数)
```

**选项**

```Bash
passwd    修改用户密码
          -l 锁定用户密码
          -u 解锁用户密码
          -d 删除用户密码
          -e 终止用户密码（修改密码后可登录）
          -n 修改密码最短有效时间
          -x 修改密码最长有效时间
          -w 修改密码警告时间
          -i 修改密码宽限时间
```

**参数**

用户名：需要设置密码的用户名。

**示例**

```bash
# 如果新建用户后，要为新用户创建密码，则用passwd用户名，注意要以root用户的权限来创建。
[root@localhost ~]# passwd linuxde     # 更改或创建linuxde用户的密码；
Changing password for user linuxde.
New UNIX password:           # 请输入新密码；
Retype new UNIX password:    # 再输入一次；
passwd: all authentication tokens updated successfully.  # 成功；

# 普通用户如果想更改自己的密码，直接运行passwd即可，比如当前操作的用户是linuxde。
[linuxde@localhost ~]$ passwd
Changing password for user linuxde.  # 更改linuxde用户的密码；
(current) UNIX password:    # 请输入当前密码；
New UNIX password:          # 请输入新密码；
Retype new UNIX password:   # 确认新密码；
passwd: all authentication tokens updated successfully.  # 更改成功；

# 比如我们让某个用户不能修改密码，可以用-l选项来锁定：
[root@localhost ~]# passwd -l linuxde     # 锁定用户linuxde不能更改密码；
Locking password for user linuxde.
passwd: Success            # 锁定成功；

[linuxde@localhost ~]# su linuxde    # 通过su切换到linuxde用户；
[linuxde@localhost ~]$ passwd       # linuxde来更改密码；
Changing password for user linuxde.
Changing password for linuxde
(current) UNIX password:           # 输入linuxde的当前密码；
passwd: Authentication token manipulation error      # 失败，不能更改密码；
```

## 1.6、chage命令

**chage命令** 是用来修改帐号和密码的有效期限。

下图显示了相关的密码期限参数， 可以通过chage命令对其进行密码期限的调整

![](https://oss.zhoumx.net/img/rhce/File12.png)

**语法**

```shell
chage [选项] 用户名
```

**选项**

```Bash
chage   设置账号密码有效期
        -d	修改最后一次修改密码日期
            date +%F -d "1970-01-01 19266days" 计算日期
            echo $((`date +%s -d 2022-10-01`/86400)) 计算天数
        -E	设置帐号到期的日期
        -h	显示帮助信息
        -i	设置密码到期后还可以使用几天
        -l	显示当前的设置
        -m	设置密码最短有效期
        -M	设置密码最长有效期
        -R	设置用户的chroot目录
        -W	设置提前收到警告信息的天数
```

示例

- `chage -m 0 -M 90 -W7 -I 14 user3`分别修改用户密码的最短期限，最长期限，警告周期和失效期限
- `chage -d O user3`强制要求用户在下一次登录时更新密码
- `chage -l user03`命令显示user03的密码期限详情。
- `chage -E 2020-10-10 user3`用户将于2020-10-10到期(YYYY-MM-DD格式）

## 1.7、groupadd命令

用于创建一个新的工作组，新工作组的信息将被添加到系统文件中。

**语法**

```shell
groupadd(选项)(参数)
```

**选项**

```Bash
groupadd  创建组
          -p 指定加密密码
          -g 指定gid
          -o 允许复用gid
          -r 创建系统账户
          -K 不使用/etc/login.defs中默认值
```

**参数**

组名：指定新建工作组的组名。

**实例**

```bash
# 建立一个新组，并设置组ID加入系统：
$ groupadd -g 344 jsdigname
```

## 1.8、groupmod命令

更改群组识别码或名称。需要更改群组的识别码或名称时，可用groupmod指令来完成这项工作。

**语法**

```shell
groupmod(选项)(参数)
```

**选项**

```Bash
groupmod  修改组信息
          -p 修改加密密码
          -g 修改gid
          -o 允许复用gid
          -U 添加用户至组（带-a可向组追加用户，不删除组中原有用户）
          -n <新群组名称>：设置欲使用的群组名称。
```

**参数**

组名：指定要修改的工作的组名。

## 1.9、groupdel命令

用于删除指定的工作组，本命令要修改的系统文件包括/ect/group和/ect/gshadow。若该群组中仍包括某些用户，则必须先删除这些用户后，方能删除群组。

**语法**

```shell
groupdel(参数)
```

**选项**

```Bash
groupdel  删除组，默认不能删除用户的主组
          -f 即使是用户的主组也能继续删除
```

**参数**

组：要删除的工作组名。

**实例**

```shell
$ groupadd damon  //创建damon工作组
$ groupdel damon  //删除这个工作组
```

## 1.10、gpasswd命令

是Linux下工作组文件`/etc/group`和`/etc/gshadow`管理工具。

**语法**

```shell
gpasswd(选项)(参数)
```

**选项**

```Bash
gpasswd   修改组密码
          -a 向组中添加用户（不会影响组中原有的用户）
          -d 删除组中的用户
          -r 删除组密码
          -A 指定管理员；
          -M 指定组成员和-A的用途差不多，主要用于向组中加入用户，可以指定多个用户，用户间用，隔开；
```

**参数**

组：指定要管理的工作组。

**实例**

如系统有个peter账户，该账户本身不是groupname群组的成员，使用newgrp需要输入密码即可。

让使用者暂时加入成为该组成员，之后peter建立的文件group也会是groupname。所以该方式可以暂时让peter建立文件时使用其他的组，而不是peter本身所在的组。

所以使用`gpasswd groupname`设定密码，就是让知道该群组密码的人可以暂时切换具备groupname群组功能的。

```bash
# 让mary用户加入users组
$ gpasswd -a mary users
```

注意：添加用户到某一个组 可以使用`usermod -G group_name user_name`这个命令可以添加一个用户到指定的组，但是以前添加的组就会清空掉。

所以想要添加一个用户到一个组，同时保留以前添加的组时，请使用gpasswd这个命令来添加操作用户：

```shell
$ gpasswd -a user_name group_name
```

## 1.11、groupmems命令

`groupmems` 命令允许用户管理自己的组成员列表，而不需要超级用户权限。`groupmems` 实用程序适用于将其用户配置为以他们自己的名义主组（即来宾/来宾）的系统。

只有作为管理员的超级用户可以使用 `groupmems` 来更改其他组的成员资格。

**语法**

```shell
groupmems -a user_name | -d 用户名 | [-g 用户组名] | -l | -p
```

**选项**

```Bash
groupmems   管理组命令
            -a 向组中添加用户（不会影响组中原有的用户）
            -d 删除组中的用户
            -p 删除组中所有用户
            -l 查看组成员
            -g 指定需要操作的组名
```

**示例**

```bash
# 将用户添加到组
$ groupmems -a mike -g SUPPORT

# 从组中删除/移除用户
$ groupmems -d mike SUPPORT -g SUPPORT

# 更改组名称
$ groupmems -g SUPPORT
```

# 2、权限管理

## 2.1、Linux文件安全

- 每—个文件都有—个uid和gid
- 任何进程运行时都带一个uid和一个或多个gid标识符
- 通常决定于那个用户执行这个进程

三种访问类型

- 运行的进程跟文件有着同样的uid(user)
  - 运行的进程跟文件有着同样的gid(group)
  - 其他进程(other)

**权限优先级**

- 如果uid匹配，用户权限适用
  - 否则，如果gid匹配，组权限适用
  - 如果都不匹配，其他权限适用

root用户可以修改所有人的文件，但是普通用户只能修改自己的文件

## 2.2、文件权限

查看文件和目录的权限

```Bash
$ ls -l 文件名 
-rw-r--r--. 1 root root 4 Oct 31 14:15 test.txt

$ ls -ld test
drwxr-xr-x. 2 root root 6 Oct 31 14:15 test
```

![](https://oss.zhoumx.net/img/rhce/File14.png)

**文件类型介绍**

| 文件类型标识 | 文件类型 |
| ------------ | -------- |
| -            | 普通文件 |
| d            | 目录     |
| l            | 符号链接 |
| s（伪文件）  | 套接字   |
| b（伪文件）  | 块设备   |
| c（伪文件）  | 字符设备 |
| p（伪文件）  | 管道     |

**权限介绍**

![](https://oss.zhoumx.net/img/rhce/File13.png)

**权限针对文件与目录的含义**

| 权限    | 针对文件               | 针对目录                                  |
| ------- | ---------------------- | ----------------------------------------- |
| r(读)   | 可以读取文件的内容     | 可以列出目录的内容(文件名、目录名)        |
| w(写)   | 可以更改文件的内容     | 可以创建或删除目录的任一文件、目录        |
| x(执行) | 可以将文件作为命令执行 | 可以进入目录(还需要r权限才能读取目录内容) |

**注：cp只需目录拥有x权限即可；**

如果一个目录属于普通用户，那么普通用户可以修改这个目录下的文件和子目录，但是仅限于文件的重命名、删除文件（对于文件的操作）；如果该文件的所属主不是这个用户，不能修改文件本身的内容。

## 2.3、chmod命令

chmod命令用于更改文件对于某类用户的操作权限

**a、符号方式修改**

```Bash
chmod [-R] whowhatwhich file

who: 设置权限的对象，可以是u(用户),g(组)，o(其它用户)，a(所有人)
what: 属性操作符，可以是`+`增加权限，`-`减少权限，`=精确设置`
which: 权限内容，可以是r(读)，w(写)，x(执行)，以及这些权限的各种组合
```

```Bash
chmod   修改文件及目录权限
        -R 递归修改文件和目录权限
        -v 显示权限修改详情
        -c 显示权限修改详情
        -f 忽略错误信息
```

**b、数字方式修改 、**
使用三个数字(nnn)模式

```Bash
chmod nnn file
```

通过把数值相加来计算权限

- 第一个数字代表所属主(u)的权限
  - 第二个数字代表所属组(g)的权限
  - 第三个数字代表其他人(o)的权限

| 表达式 | 权限 |
| ------ | ---- |
| 000=0  | ---  |
| 001=1  | --x  |
| 020=2  | -w-  |
| 021=3  | -wx  |
| 400 =4 | r--  |
| 401=5  | r-x  |
| 420=6  | rw-  |
| 421=7  | rwx  |

示例：

```Bash
# 增加文件属主的执行权限(x)
$ chmod u+x test

# 去除文件属主与属组的写权限(w)
$ chmod u-w,g-w test

#设置其他用户的文件权限为可执行
$ chmod o=x test

# 设置属主完全控制， 属组和其他人读权限
$ chmod 744 test
```

## 2.4、chown命令

- 只有root可以修改文件的拥有人， root和文件的拥有人可以修改文件的拥有组，前提是用户需要在组里面。
- chown和chgrp仅root可以执行，chmod普通用户也可以执行(前提是普通用户为该文件或目录的拥有人)

**语法**

```shell
chown(选项)(参数)
```

**选项**

```Bash
chown   修改文件或目录属主属组
        -R 递归修改文件和目录权限
        -v 显示权限修改详情
        -c 显示权限修改详情
        -f 忽略错误信息
        -h 只修改符合链接，而不对其他任何相关文件进行变动
```

**参数**

用户：组：指定所有者和所属工作组。当省略“：组”，仅改变文件所有者；
文件：指定要改变所有者和工作组的文件列表。支持多个文件和目标，支持shell通配符。

**示例**

```Bash
# 设置文件test的属主为用户user1
$ chown user1 test

# 设置文件test的属组为用户组it2
$ chown :it2 test

# 设置文件test的属主为user3, 并设置文件的属组为it3
$ chown user3:it3 test

# 将目录/usr/meng及其下面的所有文件、子目录的文件主改成 liu：
chown -R liu /usr/meng
```

## 2.5、chgrp命令

用来改变文件或目录所属的用户组。该命令用来改变指定文件所属的用户组。其中，组名可以是用户组的id，也可以是用户组的组名。文件名可以 是由空格分开的要改变属组的文件列表，也可以是由通配符描述的文件集合。如果用户不是该文件的文件主或超级用户(root)，则不能改变该文件的组。

**语法**

```shell
chgrp [选项][组群][文件|目录]
```

**选项**

```Bash
chgrp   修改文件或目录属组
        -R 递归修改文件和目录权限
        -v 显示权限修改详情
        -c 显示权限修改详情
        -f 忽略错误信息
        -h 只修改符合链接，而不对其他任何相关文件进行变动
```

**参数**

- 组：指定新工作名称；
- 文件：指定要改变所属组的文件列表。多个文件或者目录之间使用空格隔开。

**示例**

```Bash
# 设置文件test的属组为用户组it2
$ chgrp it2 test

# 将/usr/meng及其子目录下的所有文件的用户组改为mengxin
chgrp -R mengxin /usr/meng
```

## 2.6、隐藏权限

### 2.6.1 chattr命令

用来改变文件属性。这项指令可改变存放在ext2文件系统上的文件或目录属性，这些属性共有以下8种模式：

```bash
a：让文件或目录仅供附加用途；
b：不更新文件或目录的最后存取时间；
c：将文件或目录压缩后存放；
d：将文件或目录排除在倾倒操作之外；
i：不得任意更动文件或目录；
s：保密性删除文件或目录；
S：即时更新文件或目录；
u：预防意外删除。
```

**语法**

```shell
chattr(选项)
```

**选项**

```Bash
chattr  添加或删除隐藏权限
        -i 文件：不允许对文件进行删除、改名、修改数据，
           目录：不允许新建和删除文件，只能修改目录下文件数据；
        -a 文件：不允许删除和修改数据，只能新增数据，
           目录：不允许删除文件，只能在目录中新建和修改文件；
        -u 无论是文件或者目录，在删除时，其内容会被保存，
           以保证后期能够恢复，常用来防止意外删除文件或目录；
        -s 删除文件或目录时彻底从硬盘中删除，不可恢复；
        -c 默认将文件或目录进行压缩
        -x 直接访问压缩文件中的内容
        -D 检查压缩文件中的错误
```

**示例**

```bash
# 用chattr命令防止系统中某个关键文件被修改：
$ chattr +i /etc/fstab
# 然后试一下rm、mv、rename等命令操作于该文件，都是得到Operation not permitted的结果。

# 让某个文件只能往里面追加内容，不能删除，一些日志文件适用于这种操作：
$ chattr +a /data1/user_act.log
```

### 2.6.2 lsattr命令

用于查看文件的第二扩展文件系统属性。

**语法**

```shell
lsattr(选项)(参数)
```

**选项**

```Bash
lsattr  查看文件或目录的隐藏权限
        -a 显示所有文件和目录的隐藏权限
        -d 显示目录本身的隐藏权限
        -R 递归处理，将指定目录下的所有文件及子目录一并处理
        -E：可显示设备属性的当前值，但这个当前值是从用户设备数据库中获得的，而不是从设备直接获得的。
				-D：显示属性的名称，属性的默认值，描述和用户是否可以修改属性值的标志。
				-H: 显示隐藏属性。
```

lsattr经常使用的几个选项-D，-E，-R这三个选项不可以一起使用，它们是互斥的，经常使用的还有-l,-H，使用lsattr时，必须指出具体的设备名，用-l选项指出要显示设备的逻辑名称，否则要用-c，-s，-t等选项唯一的确定某个已存在的设备。

**参数**

文件：指定显示文件系统属性的文件名。

**示例**

```bash
$ lsattr -E -l rmt0 -H

# -EO: 结合使用 -E 和 -O 选项，表示在输出中显示更多的信息，包括文件的扩展属性和安全上下文。
# -l rmt0: 限定只显示磁带设备 rmt0 的属性。
$ lsattr -EO -l rmt0
```

## 2.7、默认权限

概念：所谓文件的默认权限(遮罩权限)，是指用户创建文件后，文件天生就有的权限，不需要设置；因此默认权限是针对用户来设置的。

系统用户umask值默认为0022，普通用户的umask值为0002

**计算方法**：默认创建目录的最大权限是0777；文件的最大权限是0666

因此当umask=0022时

创建目录的默认权限为0777-0022=0755=rwx r-x r-x

创建文件的默认权限为0666-0022=0644=rw- r-- r--

默认权限如果出现x栏位，系统在计算创建文件的权限时会默认+1补齐；

比如umask=023，创建文件的权限为644（x提权+1），创建目录的权限仍为754；

如果目录与文件的默认最大权限-默认权限得到的umask值不一致，以目录为准

## 2.8、sudo提权

（1）sudoers文件

```Bash
$ vim /etc/sudoers 或写入/etc/sudoers.d/bingren中（visudo工具检查语法）
bingren ALL=(ALL) ALL

第一个参数bingren：需要提权的用户或组
第二个参数ALL：主机名，可以在哪些主机提权，ALL代表所有
第三个参数ALL：提权到谁的身份，ALL代表可提权至所有用户，包括root
第四个参数ALL：可提权的命令（命令的绝对路径），ALL代表所有命令
NOPASSWD:ALL 使用sudo命令时无需密码
```

（2）sudo命令

用来以其他身份来执行命令，预设的身份为root。在`/etc/sudoers`中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，之后有5分钟的有效期限，超过期限则必须重新输入密码。

**语法**

```shell
sudo(选项)(参数)
```

**选项**

```Bash
sudo  用户临时提权
      -l 显示当前用户是否允许使用sudo，以及在哪些范围内被授权
      -i 提权至root用户（切换至root用户）
      -u 提权至指定用户（sudo -u bingren1 touch /tmp/file1）
      -b 将要执行的指令放在后台执行
      -k 强制使用者在下一次执行sudo时需要密码
```

**参数**

指令：需要运行的指令和对应的参数。

**示例**

```bash
$ sudo su -
# 这个命令相当于使用root超级用户重新登录一次shell，只不过密码是使用的当前用户的密码。而且重要是，该命令会 重新加载/etc/profile文件以及/etc/bashrc文件等系统配置文件，并且还会重新加载root用户的$SHELL环境变量所对应的配置文件 ，比如：root超级用户的$SHELL是/bin/bash，则会加载/root/.bashrc等配置。如果是/bin/zsh，则会加载/root/.zshrc等配置，执行后是完全的root环境。
```

本文提供的命令选项仅包含常用选项，而非所有选项。你可以通过在命令行中输入 命令 --help 来查看所有可用选项。