简述
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。
visudo
授权配置在/etc/sudoers这个文件中,默认这个文件是只读权限,它有个专门的工具叫visudo,这个命令能不仅能编辑这个配置文件,还能对输入内容做语法检测,如果语法有误,会提示错误位置,并且不会保存到配置文件中,它还能指出语法错误。其实visudo命令相当于:vi /etc/sudoers。
配置文件格式
授权配置格式:
who where=(whom) commands 用户 主机=(以谁的身份) commands #用户配置可以是: username #uid %groupname %#gid user_alias #主机配置: ip hostname Netaddr host_alias #commands配置 command #命令要绝对路径指定 cmnd #命令别名,灵活使用能提高效率 ----------------------------------- 在sudo配置中,可能对多个用户配置多个相同命令,这时候可以使用别名来配置。 #定义别名的方法: ALIAS_TYPE NAME=item1, item2, item3, ... NAME:别名名称,必须使用全大写字符; ALIAS_TYPE: User_Alias Host_Alias Runas_Alias Cmnd_Alias 例如: User_Alias NETADMIN=tom, jerry Cmnd_Alias NETCMND=ip, ifconfig, route NETADMIN localhost=(root) NETCMND
sudo命令
语法:sudo [option] [COMMAND] 常用选项: -k:清除此前缓存用户成功认证结果,即重新输入密码 -l:列出能用的命令
sudo有个验票机制,能记录成功认证结果一段时间,默认为5分钟,
示例:
###新建一个用户one,给它开放所有命令。 [root@test2 ~]# visudo one ALL=(ALL) ALL #切换到one用户,可以通过命令:“sudo -l”,列出可用命令 [one@test2 ~]$ sudo -l [sudo] password for one: 匹配此主机上 one 的默认条目: ... 用户 one 可以在该主机上运行以下命令: (ALL) ALL #可以看到此用户可以运行所有命令 但这样有风险,万一用户运行sudo - root呢? 这样带来的后果是:只要输入自己用的密码就能登陆root了, 所以我们可以在运行所有命令的同时,也同时禁止某些命令 [root@test2 ~]# visudo one ALL=(ALL) ALL,!/usr/bin/passwd root #禁止passwd root命令 #测试: [one@test2 ~]$ sudo passwd root 对不起,用户 one 无权以 root 的身份在 test2 上执行 /bin/passwd root。 在用户配置上,也可以对组来配置,但需要注意,只能指基本组 例如:对super组配置sudo权限。 先把one用户的配置清除。 [root@test2 ~]# visudo #one ALL=(ALL) ALL,!/usr/bin/passwd root, /usr/bin/sudo root [one@test2 ~]$ sudo -l 对不起,用户 one 不能在 test2 上运行 sudo。 ##接下来创建一个用户组super并把临时切换one用户的基本组 [root@test2 ~]# groupadd super [root@test2 ~]# usermod -G super one #把one加入super组 [root@test2 ~]# id one uid=1001(one) gid=1001(one) 组=1001(one),1011(super) [root@test2 ~]# visudo %super ALL=(root) ALL #切换到one用户 [one@test2 ~]$ newgrp super #临时更改基本组 [one@test2 ~]$ sudo -l 用户 one 可以在该主机上运行以下命令: (root) ALL [one@test2 ~]$ 可以使用别名来更好的管理sudo用户和命令 例如:使用命令别名定义一组命令,供有相同属性的用户使用。 [root@test2 ~]# visudo Cmnd_Alias TEST=/usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root #新建名为TEST的命名别名。 #套用在刚刚的super组上 %super ALL=(root) TEST [root@test2 ~]# su - one [one@test2 ~]$ sudo -l 用户 one 可以在该主机上运行以下命令: (root) /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root ##可以看到,用户one所能使用的命令是我们定义的别名TEST里的命令。 #如果嫌每5分钟都需要输入一次密码麻烦的话,可以使用一些标签来过滤掉,常用标签有: NOPASSWD: 无需验证密码 PASSWD: 需要验证密码 例如,在super中,使用TEST命令别名的命令不需要验证密码,但是使用visudo命令则需要密码。 %super ALL=(root) NOPASSWD:TEST ,PASSWD:/usr/sbin/visudo [one@test2 ~]$ sudo -l 用户 one 可以在该主机上运行以下命令: (root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root, (root) PASSWD: /usr/sbin/visudo [one@test2 ~]$ sudo useradd one1 #创建用户不需要密码 [one@test2 ~]$ sudo visudo [sudo] password for one: #visudo需要密码
总结:在生产环境中应该尽量减少使用root用户登录,以免造成不可挽救的后果,在需要管理权限时,临时切换或使用sudo来解决,使用sudo时候,可以使用命令别名或用户别名,能大大提升效率和方便维护。
链接:https://www.jianshu.com/p/fff3ccc3e04e
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。