摘要：Linux系统中的`su`命令主要用于切换用户身份，在系统管理和软件编程场景下有以下几个关键区别和用途：1. 权限层级差异 - 直接执行`su`会切换到root用户但保留原用户环境变量，可能导致软件编程时依赖库路径冲突。 - `su -...

Linux系统中的`su`命令主要用于切换用户身份，在系统管理和软件编程场景下有以下几个关键区别和用途：

1. 权限层级差异

- 直接执行`su`会切换到root用户但保留原用户环境变量，可能导致软件编程时依赖库路径冲突。

- `su -`或`su -l`会完全加载目标用户的环境（如`/root/.bashrc`），适合需要纯净系统环境的编译任务。

2. 安全审计影响

系统日志会记录`su`切换行为但无法追溯具体操作，而`sudo`配合审计模块更适合软件部署时实现细粒度权限控制（如只允许nginx用户重启服务）。

3. 进程继承特性

通过`su`启动的进程会继承原会话的ULIMIT限制，在开发需要高并发文件描述的软件时（如Web服务器），需使用`su -c "ulimit -n 65535"`显式重置参数。

4. SSH连接差异

跳板机系统中`su`可能破坏SSH_ORIGINAL_COMMAND环境变量，导致基于SSH的自动化部署脚本异常，此时应改用`sudo -iu`。

5. 资源限制穿透

普通用户通过`su`获取root后会绕过`/etc/security/limits.conf`的限制，而`sudo`可配置`pam_limits.so`模块保持限制，对稳定性要求高的后台服务更安全。

6. 编程环境隔离

使用`su developer -c "make install"`时可能误用root的动态链接库，推荐结合`env -i`清空环境变量：`su - developer -c "env -i make"`。

7. 容器化兼容性

在Docker等容器系统中，`su`依赖完整的PAM堆栈，若镜像未包含`/etc/pam.d/su`配置文件会导致切换失败，此时需改用`gosu`等专用工具。

8. 密码策略影响

企业级系统中`su`受`/etc/login.defs`的`ENCRYPT_METHOD`和`FAIL_DELAY`参数控制，而软件自动化脚本应考虑使用SSH密钥或`sudo -n`避免密码交互阻塞。

延伸知识：

SELinux环境下`su`需要`userdom_transition`布尔值许可，否则会导致上下文切换失败。

通过`pam_script.so`可实现在`su`前后触发自定义脚本（如备份.bash_history），但会增加软件调试复杂度。

部分发行版（如Alpine Linux）默认不安装`shadow`工具包，需手动配置`su`的权限位4755。

在设计需要跨用户权限的系统工具时，应优先考虑基于能力（CAPABILITIES）的编程模型而非依赖`su`切换。