su快捷键和sudo有什么区别？

su是用户身份的完全切换，sudo则是以当前身份临时获取指定权限执行单条命令。前者需输入目标用户（如root）密码，切换后拥有该账户全部环境与权限，适合长时间多任务操作；后者仅需输入自身密码，依赖/etc/sudoers配置实现细粒度授权，所有操作自动记录日志，既规避了root密码共享风险，又支持命令级权限收敛。根据Linux基金会官方文档及Ubuntu、CentOS等主流发行版实践，sudo已成为现代系统管理的默认推荐方式，而su仍保留在需要完整登录环境或跨用户调试等特定场景中发挥不可替代的作用。

一、权限获取机制的本质差异

su命令的核心逻辑是“身份替代”，执行时系统会终止当前会话的用户上下文，重新加载目标用户的shell环境、PATH变量及配置文件（如.bashrc），尤其在使用su -时触发完整的login shell流程。这意味着切换后所有操作均以目标用户身份持续运行，直到主动退出。而sudo则采用“权限委托”模型，不改变当前shell进程，仅临时提升单条命令的执行权限，命令结束后立即恢复原始用户环境。这种设计使sudo天然规避了因长期持有root权限导致的误操作风险，也避免了环境变量污染引发的路径错误问题。

二、安全管控与审计能力的具体实现

sudo的安全优势体现在三层机制：其一，权限边界由/etc/sudoers文件严格定义，管理员可通过visudo命令精确指定某用户可执行哪些命令、是否允许使用通配符、能否保留环境变量等；其二，每次sudo操作自动写入/var/log/auth.log日志，包含执行者、时间戳、完整命令及返回状态，满足ISO 27001等合规审计要求；其三，密码缓存默认5分钟，既减少重复验证负担，又通过超时强制重鉴权。反观su，除系统级pam_faildelay模块外，无原生操作日志功能，root密码一旦泄露即意味着全系统控制权丧失。

三、典型使用场景的操作指引

日常运维中，若需批量修改系统配置文件，应优先使用sudo vim /etc/hosts而非su -c "vim /etc/hosts"，前者确保编辑过程受sudoers策略约束且留痕；当调试服务启动失败时，用su -l -c "systemctl status nginx"可复现真实登录环境下的服务状态；而为新用户添加sudo权限，则需root执行visudo，在配置文件末尾追加"username ALL=(ALL:ALL) ALL"并保存，该操作经语法校验后即时生效。值得注意的是，Debian系发行版默认禁用root账户密码，此时su root将直接失败，必须依赖sudo完成提权。

综上，二者并非替代关系，而是面向不同管理粒度的互补工具。