Linux 怎么切换用户？su 和 sudo 区别讲透

su是身份接管，需目标用户密码，环境继承不完整；sudo是权限委托，用自身密码，支持命令级授权和完整审计。生产环境应禁用root密码，优先使用sudo。

Linux 切换用户主要靠 su 和 sudo，但它们底层逻辑、使用场景和安全机制完全不同。别再用 su - 当万能钥匙了——用错不仅麻烦，还埋下权限失控隐患。

su 是“换人”，本质是身份接管

su 全称是 switch user，不是 super user。它直接切换当前 shell 的用户身份，之后所有操作都以目标用户权限运行。

• su username：非登录 shell 方式，环境变量（比如 PATH、HOME）仍沿用原用户设置，容易命令找不到或路径错乱
• su - username（或 su -l username）：登录 shell 方式，会加载目标用户的 ~/.bashrc、~/.profile 等配置，HOME 切到其家目录，PATH 也重置为该用户默认值
• root 用户执行 su 到其他用户时，无需输入目标用户密码；普通用户执行 su，则必须输入目标用户的密码（比如 su - test_user 要输 test_user 的密码）
• 缺点明显：需要知道目标用户（尤其是 root）的密码，多人共管时密码易泄露、难审计、无法限制具体能做什么

sudo 是“代劳”，本质是权限委托

sudo 全称是 superuser do，但它不切换用户，而是让当前用户以指定身份（默认 root）临时执行某条命令——执行完立刻退回原身份。

• sudo command：用自己密码执行一条特权命令（如 sudo apt update）
• sudo -i 或 sudo -s：启动一个 root 权限的交互式 shell；-i 加载 root 的环境（类似 su -），-s 不加载（类似 su）
• sudo -u username command：以指定用户（非 root）身份执行某条命令，比如 sudo -u www-data ls /var/www
• 是否允许、能执行哪些命令，全由 /etc/sudoers 文件控制，支持精细授权（如只允许重启 nginx，不允许删文件）

关键区别一目了然

对比维度直接决定你该选哪个：

AIBox 一站式AI创作平台

AIBox365一站式AI创作平台，支持ChatGPT、GPT4、Claue3、Gemini、Midjourney等国内外大模型

224

查看详情

• 密码要求：su 需目标用户密码；sudo 只需自己密码（且可配置免密）
• 权限粒度：su 是“全有或全无”——切过去就拥有目标用户全部权限；sudo 可精确到命令级（例如只放行 systemctl restart docker）
• 日志审计：sudo 默认记录每次执行的用户、时间、命令到 /var/log/auth.log；su 基本不留痕（除非额外配置 pam_faildelay 或 auditd）
• 环境继承：su - 才完整继承目标用户环境；sudo 默认保留当前环境（可用 -E 保留，或 --login 模拟登录 shell）
• 适用场景：长期在另一用户环境下工作（如运维要进 root 环境调参）→ 用 su -；仅执行一两条特权操作（如改配置、启服务）→ 优先用 sudo

安全建议：日常尽量绕开 su

生产环境强烈建议：

• 禁用 root 密码（sudo passwd -l root），彻底阻断 su root 路径
• 把可信用户加入 sudo 组：usermod -aG sudo username（Ubuntu/Debian）或 usermod -aG wheel username（CentOS/RHEL）
• 避免写 sudo su - 这类冗余组合——它等价于 sudo -i，多一层 shell 反而增加排查难度
• 需要以非 root 用户执行敏感操作？用 sudo -u username -i，比 su - username 更可控、可审计

基本上就这些。记住：su 解决“我是谁”，sudo 解决“我能干什么”。选对工具，权限才真正可控。

以上就是Linux 怎么切换用户？su 和 sudo 区别讲透的详细内容，更多请关注php中文网其它相关文章！