在Linux系統中,管理員往往不止一人,若每位管理員都用root身份進行管理工作,根本無法弄清楚誰該做什麼。所以最好的方式是:管理員創建一些普通用戶,分配一部分系統管理工作給他們。
我們不可以使用su讓他們直接變成root,因為這些用戶都必須知道root的密碼,這種方法很不安全,而且也不符合我們的分工需求。一般的做法是利用權限的設置,依工作性質分類,讓特殊身份的用戶成為同一個工作組,並設置工作組權限。例如:要wwwadm這位用戶負責管理網站數據,一般Apache Web Server的進程httpd的所有者是www,您可以設置用戶wwwadm與www為同一工作組,並設置Apache默認存放網頁目錄 /usr/local/httpd/htdocs的工作組權限為可讀、可寫、可執行,這樣屬於此工作組的每位用戶就可以進行網頁的管理了。
但這並不是最好的解決辦法,例如管理員想授予一個普通用戶關機的權限,這時使用上述的辦法就不是很理想。這時您也許會想,我只讓這個用戶可以以 root身份執行shutdown命令就行了。完全沒錯,可惜在通常的Linux系統中無法實現這一功能,不過已經有了工具可以實現這樣的功能—— sudo。
sudo通過維護一個特權到用戶名映射的數據庫將特權分配給不同的用戶,這些特權可由數據庫中所列的一些不同的命令來識別。為了獲得某一特權項,有資格的用戶只需簡單地在命令行輸入sudo與命令名之後,按照提示再次輸入口令(用戶自己的口令,不是root用戶口令)。例如,sudo允許普通用戶格式化磁盤,但是卻沒有賦予其他的root用戶特權。