Linux切换用户方法及su和sudo区别详解

本文深入剖析了Linux中su与sudo两大权限管理工具的本质区别与正确用法：su是“变成他人”——用于切换用户身份，必须加-（如su -）才能完整加载目标用户环境，否则易导致命令不可用、配置失效等隐性故障；sudo则是“借权办事”——以临时授权方式执行特定命令，权限由/etc/sudoers严格管控，操作全程留痕于/var/log/auth.log，支持精细授权、环境继承（-E）和登录态模拟（-i）。文章强调二者绝不能混用，误用不仅引发环境错乱、审计失效，更埋下安全风险，并给出实战判断准则：看是否需要持续上下文、是否要求操作可追溯、是否涉及多人协作管理，辅以Debian/Ubuntu root禁用、Alpine日志缺失等典型场景提醒，助你精准选型、安全运维。

su 和 sudo 根本不是一回事，别混着用

它们解决的是两类完全不同的权限问题：su 是“我变成你”，sudo 是“我以你的身份做一件事”。前者换人，后者借权。误用会导致环境错乱、命令找不到、日志缺失，甚至安全审计失败。

用 su - 还是 su？不加 - 就等于埋雷

常见错误：执行 su root 后发现 which systemctl 找不到，或者 vim 配置还是自己用户的——这是因为没加 -（等价于 --login），shell 没加载目标用户的环境。

• su root：只改 UID/GID，PWD、PATH、HOME 全部保留原用户设置
• su - root：清空当前 shell 环境，完整加载 /root/.bashrc、/root/.profile 等，PWD 变成 /root
• Debian/Ubuntu 默认禁用 root 密码，su - 直接报错；必须先用 sudo passwd root 显式启用（不推荐）

sudo 不是“输密码就能为所欲为”

它的权限由 /etc/sudoers 严格控制，普通用户默认只能执行带 sorry, you must have a tty to run sudo 错误的命令——那是因为远程脚本里没配 Defaults requiretty 关闭项。

• 加 -i 模拟登录 shell：sudo -i systemctl status nginx，比 sudo systemctl status nginx 更贴近真实服务运行环境
• 想保留当前 PATH？加 -E：sudo -E pip3 install xxx，否则可能因路径不对装到错位置
• 误删 /etc/sudoers 语法？别硬改——必须用 visudo，它会语法校验，保存失败自动回退

什么时候该用哪个？看这三点

不是凭感觉，而是看操作是否需要“持续上下文”、是否要“留痕可查”、是否“多人共管”。

• 临时改一个配置文件？用 sudo vim /etc/hosts —— 日志里有记录，且不污染 shell 环境
• 调试服务启动失败，怀疑是环境变量导致？用 su -l -c "systemctl --user status myapp" —— 完整复现登录态
• 给新用户开管理权限？在 root 下运行 visudo，追加 alice ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl restart nginx，精确授权，不给 root shell

最容易被忽略的是：su 没日志，sudo 的日志默认写进 /var/log/auth.log，但有些精简版系统（如 Alpine）压根不装 rsyslog，sudo 操作就静默了——得手动配好日志后端，否则审计就是摆设。

终于介绍完啦！小伙伴们，这篇关于《Linux切换用户方法及su和sudo区别详解》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！