sudo 身份提权(更安全)
su 命令在切换用户身份时,如果每个普通用户都能拿到root用户的密码,当其中某个用户不小心泄漏了root的密码,那系统会变得非常不安全。
为了改进这个问题,从而产生了sudo这个命令。
sudo 执行一个仅有root身份才能执行的命令是可以办到的,但是需要输入密码,这个密码并不是root的密码而是用户自己的密码。
默认只有root用户能使用sudo命令,普通用户想要使用sudo需要root预先设定,即使用visudo命令去编辑相关的配置文件/etc/sudoers。
sudo 提权
# 在CentOS7中,/etc/sudoers中有默认组wheel可以执行所有(ALL)属于root的命令,想提权加入附加组即可
usermod wqh -G wheel
1.将用户加入到 sudoers 文件中
2.将用户加入到 sudoers 文件中设置的组里(可以是wheel或者自定义组)
[root@lwqh06 ~]# visudo
1.用户名 2.主机名 3.角色名 4.命令名
root ALL= (ALL) ALL
user01 ALL= (ALL) ALL
1.组名 2.主机名 3.角色名 4.命令名
%wheel ALL= (ALL) ALL # CentOS7中系统自带特权组
%group01 ALL= (ALL) ALL
用户命令名别名:
# user01_Alias
Cmnd_Alias USERCMD = /bin/cat,/bin/rm,/bin/ls # 给命令起了别名,方便下面内容更加简洁
用户提权:
user01 ALL=(ALL) USERCMD # 利用了上面的用户命令别名
test01 ALL=(ALL) NOPASSWD: /bin/cat # 只可以执行cat命令,提权后不需要输入密码
test02 ALL=(ALL) ALL,!/bin/rm # 可以执行所有的命令,除了rm