简述
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。
visudo
授权配置在/etc/sudoers这个文件中,默认这个文件是只读权限,它有个专门的工具叫visudo,这个命令能不仅能编辑这个配置文件,还能对输入内容做语法检测,如果语法有误,会提示错误位置,并且不会保存到配置文件中,它还能指出语法错误。其实visudo命令相当于:vi /etc/sudoers。
配置文件格式
授权配置格式:
who where=(whom) commands
用户 主机=(以谁的身份) commands
#用户配置可以是:
username
#uid
%groupname
%#gid
user_alias
#主机配置:
ip
hostname
Netaddr
host_alias
#commands配置
command #命令要绝对路径指定
cmnd #命令别名,灵活使用能提高效率
-----------------------------------
在sudo配置中,可能对多个用户配置多个相同命令,这时候可以使用别名来配置。
#定义别名的方法:
ALIAS_TYPE NAME=item1, item2, item3, ... NAME:别名名称,必须使用全大写字符;
ALIAS_TYPE:
User_Alias
Host_Alias
Runas_Alias
Cmnd_Alias
例如:
User_Alias NETADMIN=tom, jerry
Cmnd_Alias NETCMND=ip, ifconfig, route
NETADMIN localhost=(root) NETCMND
sudo命令
语法:sudo [option] [COMMAND]
常用选项:
-k:清除此前缓存用户成功认证结果,即重新输入密码
-l:列出能用的命令
sudo有个验票机制,能记录成功认证结果一段时间,默认为5分钟,
示例:
###新建一个用户one,给它开放所有命令。
[root@test2 ~]# visudo
one ALL=(ALL) ALL
#切换到one用户,可以通过命令:“sudo -l”,列出可用命令
[one@test2 ~]$ sudo -l
[sudo] password for one:
匹配此主机上 one 的默认条目:
...
用户 one 可以在该主机上运行以下命令:
(ALL) ALL #可以看到此用户可以运行所有命令
但这样有风险,万一用户运行sudo - root呢?
这样带来的后果是:只要输入自己用的密码就能登陆root了,
所以我们可以在运行所有命令的同时,也同时禁止某些命令
[root@test2 ~]# visudo
one ALL=(ALL) ALL,!/usr/bin/passwd root #禁止passwd root命令
#测试:
[one@test2 ~]$ sudo passwd root
对不起,用户 one 无权以 root 的身份在 test2 上执行 /bin/passwd root。
在用户配置上,也可以对组来配置,但需要注意,只能指基本组
例如:对super组配置sudo权限。
先把one用户的配置清除。
[root@test2 ~]# visudo
#one ALL=(ALL) ALL,!/usr/bin/passwd root, /usr/bin/sudo root
[one@test2 ~]$ sudo -l
对不起,用户 one 不能在 test2 上运行 sudo。
##接下来创建一个用户组super并把临时切换one用户的基本组
[root@test2 ~]# groupadd super
[root@test2 ~]# usermod -G super one #把one加入super组
[root@test2 ~]# id one
uid=1001(one) gid=1001(one) 组=1001(one),1011(super)
[root@test2 ~]# visudo
%super ALL=(root) ALL
#切换到one用户
[one@test2 ~]$ newgrp super #临时更改基本组
[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令:
(root) ALL
[one@test2 ~]$
可以使用别名来更好的管理sudo用户和命令
例如:使用命令别名定义一组命令,供有相同属性的用户使用。
[root@test2 ~]# visudo
Cmnd_Alias TEST=/usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root #新建名为TEST的命名别名。
#套用在刚刚的super组上
%super ALL=(root) TEST
[root@test2 ~]# su - one
[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令:
(root) /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root
##可以看到,用户one所能使用的命令是我们定义的别名TEST里的命令。
#如果嫌每5分钟都需要输入一次密码麻烦的话,可以使用一些标签来过滤掉,常用标签有:
NOPASSWD: 无需验证密码
PASSWD: 需要验证密码
例如,在super中,使用TEST命令别名的命令不需要验证密码,但是使用visudo命令则需要密码。
%super ALL=(root) NOPASSWD:TEST ,PASSWD:/usr/sbin/visudo
[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令:
(root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root, (root) PASSWD: /usr/sbin/visudo
[one@test2 ~]$ sudo useradd one1 #创建用户不需要密码
[one@test2 ~]$ sudo visudo
[sudo] password for one: #visudo需要密码
总结:在生产环境中应该尽量减少使用root用户登录,以免造成不可挽救的后果,在需要管理权限时,临时切换或使用sudo来解决,使用sudo时候,可以使用命令别名或用户别名,能大大提升效率和方便维护。
