Linux管理员必须知道的sudo命令

  “Sudo”是Unix/Linux平台上的一个很实用的工具，它同意系统管理员分配给普通用户一些合理的“权利”，让他们执行一些仅仅有超级用户或其它 特许用户才干完毕的任务。比方：执行一些像mount，halt，su之类的命令，或者编辑一些系统配置文件，像/etc/mtab，/etc /samba/smb.conf等。这样以来，就不仅降低了root用户的登陆次数和管理时间，也提高了系统安全性。

　　一. sudo的特点

　　sudo扮演的角色注定了它要在安全方面格外慎重，否则就会导致非法用户攫取root权限。

同一时候。它还要兼顾易用性，让系统管理员可以更有效，更方便地使用它。

sudo设计者的宗旨是：给用户尽可能少的权限但仍同意完毕他们的工作。

所以。sudo
有下面特点：

　 # 1. sudo可以限制指定用户在指定主机上执行某些命令。
   # 2. sudo能够提供日志，忠实地记录每一个用户使用sudo做了些什么，而且能将日志传到中心主机或者日志server。

   # 3. sudo为系统管理员提供配置文件，同意系统管理员集中地管理用户的使用权限和使用的主机。

它默认的存放位置是/etc/sudoers。
   # 4.sudo使用时间戳文件来完毕类似“检票”的系统。当用户运行sudo而且输入password后。用户获得了一张默认存活期为5分钟的“入场券”（默认值能够在编译的时候改变）。超时以后，用户必须又一次输入password。

　　二. sudo命令

　　sudo程序本身就是一个设置了SUID位的二进制文件。我们能够检查一下它的权限：

　　

<span style="font-size:18px;">$ls -l /usr/bin/sudo
---s--x--x 2 root root 106832 02-12 17:41 /usr/bin/sudo</span>

 

　　它的全部者是root，所以每一个用户都能够像root那样执行该程序。设置了SUID的程序在执行时能够给使用者以全部者的EUID。这也是为 什么设置了SUID的程序必须小心编写。可是设置一个命令文件的SUID和用sudo来执行它是不同的概念。它们起着不同的作用。

　　sudo的配置都记录在/etc/sudoers文件里，我们以下将会具体说明。

配置文件指明哪些用户能够运行哪些命令。要使用sudo。用户 必须提供一个指定username和password。注意：sudo须要的不是目标用户的password。而是运行sudo的用户的password。

假设不在sudoers中的用户通过sudo执 行命令，sudo会向管理员报告这一事件。

用户能够通过sudo -v来查看自己是否是在sudoers 之中。假设是，它还能够更新你的“入场券”上的时间。假设不是，它会提示你。但不会通知管理员。

　　sudo命令格式例如以下：

　

　　另一些不经常使用的參数，在手冊页sudo(8)中能够找到。

　　三. 配置sudo

　　配置sudo必须通过编辑/etc/sudoers文件。并且仅仅有超级用户才可以改动它。还必须使用visudo编辑。之所以使用visudo有两个原因，一是它可以防止

两个用户同一时候改动它。二是它也能进行有限的语法检查。

所以。即使仅仅有你一个超级用户。你也最好用visudo来检查一下语法。

　　visudo默认的是在vi里打开配置文件，用vi来改动文件。我们能够在编译时改动这个默认项。visudo不会擅自保存带有语法错误的配置文件。它会提示你出现的问题，并询问该怎样处理。就像：

<span style="font-size:18px;">>>> sudoers file: syntax error, line 22 <<</span>

 

        此时我们有三种选择：键入“e”是又一次编辑，键入“x”是不保存退出，键入“Q”是退出并保存。假设真选择Q。那么sudo将不会再执行，直到错误被纠正。

　　如今。我们一起来看一下神奇的配置文件。学一下怎样编写它。

让我们从一个简单的样例開始：让用户Foobar能够通过sudo运行全部root可运行的命令。

以root身份用visudo打开配置文件，能够看到类似以下几行：

<span style="font-size:18px;"># Runas alias specification
# User privilege specificationroot    ALL=(ALL)ALL</span>

　　我们一看就明确个几乎相同了，root有全部权限。仅仅要仿照现有root的样例即可，我们在以下加一行（最好用tab作为空白）：

　　

<span style="font-size:18px;">foobar ALL=(ALL)    ALL</span>

　　保存退出后，切换到foobar用户，我们用它的身份运行命令：

<span style="font-size:18px;">[foobar@localhost ~]$ ls /root
ls: /root: 权限不够
[foobar@localhost ~]$ sudo ls /root
PassWord:
anaconda-ks.cfg Desktop install.log install.log.syslog</span>

       好了，我们限制一下foobar的权利，不让他为所欲为。

比方我们仅仅想让他像root那样使用ls和ifconfig，把那一行改为：

　　

<span style="font-size:18px;">foobar localhost=    /sbin/ifconfig,   /bin/ls</span>

再来运行命令：

<span style="font-size:18px;">[foobar@localhost ~]$ sudo head -5 /etc/shadow
Password:

　　Sorry, user foobar is not allowed to execute '/usr/bin/head -5 /etc/shadow' as root on localhost.localdomain.
[foobar@localhost ~]$ sudo /sbin/ifconfigeth0      Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B...</span>

　　如今让我们来看一下那三个ALL究竟是什么意思。第一个ALL是指网络中的主机。我们后面把它改成了主机名。它指明
foobar能够在此主机上运行后面的命令。第二个括号中的ALL是指目标用户。也就是以谁的身份去运行命令。

最后一个
ALL当然就是指命令名了。比如。我们想让foobar用户在linux主机上以jimmy或rene的身份运行kill命令。这样编写配置文件：

　　

<span style="font-size:18px;">foobar    linux=(jimmy,rene)    /bin/kill</span>

　　但这还有个问题。foobar究竟以jimmy还是rene的身份运行？这时我们应该想到了sudo -u了，它正是用在这样的时候。

foobar能够使用sudo -u jimmy kill PID或者sudo -u rene kill PID。但这样挺麻烦，事实上我们能够不必每次加-u。把rene或jimmy设为默认的目标用户就可以。再在上面加一行：

<span style="font-size:18px;"> Defaults:foobar runas_default=rene</span>

        Defaults后面假设有冒号，是对后面用户的默认，假设没有。则是对全部用户的默认。就像配置文件里自带的一行：

<span style="font-size:18px;">　
Defaults    env_reset</span>

        还有一个问题是，非常多时候，我们本来就登录了。每次使用sudo还要输入password就显得烦琐了。我们可不能够不再输入password呢？当然能够，我们这样改动配置文件：

　　

<span style="font-size:18px;">foobar localhost=NOPASSWD:     /bin/cat, /bin/ls</span>

　　再来sudo一下：

<span style="font-size:18px;">
[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg Desktop install.log

install.log.syslog</span>

 

　　当然，你也能够说“某些命令用户foobar不能够执行”，通过使用!操作符。但这不是一个好主意。由于，用!操作符来从ALL中“剔出”一些命令通常是没什么效果的，一个用户全然能够把那个命令复制到别的地方，换一个名字后再来执行。
四. 日志与安全

　　sudo为安全考虑得非常周到。不仅能够记录日志，还能在有必要时向系统管理员报告。

可是。sudo的日志功能不是自己主动的，必须由管理员开启。

这样来做：

<span style="font-size:18px;"># toUCh /var/log/sudo
# vi /etc/syslog.conf</span>

　　在syslog.conf最后面加一行（必须用tab切割开）并保存：

　　

 

<span style="font-size:18px;">local2.debug                    /var/log/sudo</span>

　　重新启动日志守候进程

<span style="font-size:18px;">ps aux grep syslogd</span>

　　

　　把得到的syslogd进程的PID（输出的第二列是PID）填入以下：

　

　

<span style="font-size:18px;">kill –HUP PID</span>

　　这样。sudo就能够写日志了：

　　

<span style="font-size:18px;">[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg

Desktop install.log
install.log.syslog
$cat /var/log/sudoJul 28 22:52:54 localhost sudo:   foobar :
TTY=pts/1 ; PWD=/home/foobar ; USER=root ; COMMAND=/bin/ls /root</span>

 

　　只是。有一个小小的“缺陷”，sudo记录日志并非非常忠实：

　　

<span style="font-size:18px;">[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null
[foobar@localhost ~]$
cat /var/log/sudo...Jul 28 23:10:24 localhost sudo:   foobar : TTY=pts/1 ;
PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow</span>

 

　　重定向没有被记录在案！为什么？由于在命令执行之前，shell把重定向的工作做完了，sudo根本就没看到重定向。这也有个优点。以下的手段不会得逞：

　

　

<span style="font-size:18px;">[foobar@localhost ~]$ sudo ls /root > /etc/shadowbash: /etc/shadow: 权限不够</span>

　　sudo 有自己的方式来保护安全。

以root的身份运行sudo
-V。查看一下sudo的设置。由于考虑到安全问题。一部分环境变量并没有传递给sudo后面的命令，或者被检查后再传递的。比方：PATH。HOME。
SHELL等。

当然，你也能够通过sudoers来配置这些环境变量。

　　如上所见，sudo对于控制和审查root的訪问非常有帮助，它能让系统管理员更有效。安全地管理系统。掌握sudo的正确使用也是对于系统管理员的良好训练。

本文仅仅是初步地介绍了sudo 的使用，了解很多其它请參考sudoers(5)和sudo(8)手冊页。