5154

在 Linux 系统的世界中，root 用户是一个至高无上的存在，它拥有系统的最高权限，可以执行任何操作，从读取和修改所有文件，到管理系统服务和硬件设备，在 CentOS 7 这款广泛使用的企业级操作系统中，清晰地了解如何识别、切换和管理 root 用户身份，是每一位系统管理员和高级用户的必备技能，本文将深入探讨在 CentOS 7 中与“显示 root”相关的各种场景和方法，从命令行的细微差别到图形界面的配置，再到身份的确认，旨在提供一个全面而清晰的指南。

命令行提示符：最直接的视觉标识

对于绝大多数在服务器上工作的用户而言,命令行界面（CLI）是与系统交互的主要方式。root 用户身份的“显示”最为直观和重要。

标准的普通用户登录后,其命令行提示符通常以美元符号 形式如下：

[username@hostname ~]$

而当用户成功切换到 root 用户后，提示符的结尾会变为井号 ，这是最经典、最核心的视觉区分标志：

[root@hostname ~]#

这个从 到 的变化，是系统在无声地提醒你：你现在拥有的是超级用户权限，接下来的每一个操作都需要格外谨慎，因为一个微小的失误都可能导致系统性的灾难。

切换到 Root 用户的方法

要在命令行中获得 root 身份，主要有两种命令：su 和 sudo。

使用 su 命令

su（switch user）命令是传统的切换用户工具，要切换到 root，通常使用 su - 或 su -l 命令。

su -

或

su -l

这里的 或 -l 参数至关重要，它表示“模拟一次完整的登录”，这意味着不仅会切换用户身份，还会加载 root 用户的个人环境配置文件（如 .bashrc、.profile 等），使得工作环境与 root 直接登录时完全一致，执行此命令后，系统会提示你输入 root 用户的密码，验证成功后，你将看到以 结尾的提示符。

使用 sudo 命令

sudo（superuser do）是现代 Linux 发行版中更为推荐的管理权限方式，它允许一个经过授权的普通用户以 root 或其他用户的身份来执行特定的命令。

默认情况下,在 CentOS 7 中，wheel 组的成员被授予使用 sudo 的权限，要将一个用户（testuser）添加到 wheel 组，可以执行：

usermod -aG wheel testuser

之后,testuser 就可以使用 sudo 来执行需要特权的命令。

• 执行单个命令：

  sudo yum update

  系统会提示输入 testuser 自己的密码（而非 root 密码），验证通过后命令会以 root 权限执行。

• 获取持久的 Root Shell：

  如果你需要连续执行多条需要 root 权限的命令，可以使用 sudo -i 或 sudo su - 来启动一个 root shell。

  sudo -i

  同样,输入当前用户密码后，你将获得一个 root 环境的交互式 shell，提示符也会变为 。

su 与 sudo 的比较

为了更清晰地理解两者的区别,下表进行了详细对比：

图形用户界面（GUI）中启用 Root 登录

虽然服务器环境很少使用图形界面,但一些桌面版或特殊应用场景可能需要以 root 身份直接登录 GUI，出于安全考虑，CentOS 7 默认禁用了 root 用户的图形化登录，如果确实需要，可以通过修改配置文件来启用。

警告： 启用 root 的图形化登录会显著降低系统的安全性，不推荐在生产环境中使用。

1. 编辑 GDM 配置文件 GDM（GNOME Display Manager）是 GNOME 桌面环境的默认登录管理器，打开 /etc/gdm/custom.conf 文件进行编辑：

   vi /etc/gdm/custom.conf

   在 [security] 部分，添加 AllowRoot=true 这一行。[security] 部分不存在，则需手动创建。

   [daemon]
   ...
   [security]
   AllowRoot=true
   [xdmcp]
   ...
   [chooser]
   ...
   [debug]
   ...

2. 修改 PAM 认证文件 需要修改 PAM（可插拔认证模块）的配置，移除阻止 root 登录的规则，编辑 /etc/pam.d/gdm-password 文件：

   vi /etc/pam.d/gdm-password

   找到下面这一行： auth required pam_succeed_if.so user != root quiet

   在这一行的开头加上 将其注释掉： #auth required pam_succeed_if.so user != root quiet

   

3. 重启系统 完成上述修改后，保存文件并重启系统，重启后，在图形登录界面，你就可以输入 root 作为用户名和对应的密码进行登录了。

如何确认当前用户身份

无论你通过何种方式操作,随时确认自己当前的身份是一个好习惯，以下几个命令可以帮助你做到这一点。

• whoami 命令 这个命令会直接打印出当前有效的用户名。

  [testuser@hostname ~]$ whoami
  testuser
  [testuser@hostname ~]$ sudo -i
  [root@hostname ~]# whoami
  root

• id 命令 id 命令提供了更丰富的信息，包括用户ID（UID）、组ID（GID）以及所属的所有组。root 用户的 UID 永远是 0，这是其身份的根本标志。

  [testuser@hostname ~]$ id
  uid=1000(testuser) gid=1000(testuser) groups=1000(testuser),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
  [testuser@hostname ~]$ sudo -i
  [root@hostname ~]# id
  uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

通过这些命令,你可以百分之百地确定当前操作环境是否处于 root 权限之下，从而避免误操作。

相关问答 FAQs

问题1：为什么在团队协作的服务器环境中，强烈推荐使用 sudo 而不是直接 su 到 root 用户？

解答： 在团队环境中推荐 sudo 主要基于三个核心原因：安全性、可审计性和灵活性。 安全性，使用 su - 需要知道 root 密码，这意味着 root 密码必须在多个管理员之间共享，增加了密码泄露的风险，而 sudo 只需要管理员使用自己的密码，root 密码可以被设为极其复杂甚至锁定，从而大大增强了系统安全性。 可审计性。sudo 的每一次执行都会被详细记录在系统日志（如 /var/log/secure）中，清晰地记录了“哪个用户在哪个时间从哪个终端执行了什么命令”，这对于事后追踪问题、定位责任人至关重要，而 su 一旦切换成功，后续的操作日志只会显示为 root，难以追溯到具体的管理员。 灵活性。sudo 允许在 /etc/sudoers 文件中进行精细的权限控制，可以授予某个用户只能执行特定命令（如重启服务）的权限，而无需给予其完整的 root shell，这完美契合了“最小权限原则”，减少了因权限过大而导致误操作的可能性。

问题2：如果我忘记了 root 密码，在单用户模式下也无法进入（例如系统启用了 SELinux），在 CentOS 7 中该如何重置？

解答： CentOS 7 引入了 systemd 和 dracut，使得重置 root 密码的方法与之前的版本有所不同，当传统单用户模式因 SELinux 策略等原因无法正常工作时，可以采用 rd.break 方法，步骤如下：

1. 重启服务器，在 GRUB 引导菜单出现时，按 e 键编辑选中的内核选项。
2. 在编辑界面,找到以 linux16 或 linuxefi 开头的行，使用方向键移动到行尾。
3. 添加 rd.break 参数，在该行末尾空一格，然后输入 rd.break。
4. 按 Ctrl + x 启动系统，系统会进入一个临时的紧急模式（emergency shell）。
5. 根文件系统 被挂载在 /sysroot 目录下，并且是只读的，需要重新挂载为可读写模式：

   mount -o remount,rw /sysroot

6. 使用 chroot 命令将系统环境切换到原来的 /sysroot：

   chroot /sysroot

7. 你可以使用 passwd 命令来重置 root 密码了：

   passwd root

   按提示输入两次新密码。

8. 非常重要的一步：由于我们修改了 /etc/shadow 文件，其 SELinux 安全上下文可能不正确，必须让系统在下次启动时自动重新标记文件：

   touch /.autorelabel

9. 输入 exit 退出 chroot 环境，再输入 exit 或 reboot 重启系统，重启过程会稍长，因为 SELinux 正在重新标记整个文件系统，完成后，你就可以使用新设置的 root 密码登录了。