sudo授权控制

最新推荐文章于 2024-09-20 18:43:39 发布
最新推荐文章于 2024-09-20 18:43:39 发布
阅读量508 收藏
点赞数
分类专栏: Linux基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Micky_Yang/article/details/88364358
版权

sudo命令是用来以另外一个用户的身份来执行某些命令,并且不需要知道对方的密码;sudo的默认安全策略记录在/etc/sudoers配置文件中。而运行安全策略文件中的命令时,需要用户输入自己的密码来进行身份验证。也就是说用户在执行sudo命令时需要输入自己的密码。如果验证失败,则命令不会被执行,如果用户没有权限执行命令,则会把此操作发送邮件给管理员。

sudo命令的语法
sudo [-bhHpV][-s ][-u <用户>][指令]
-u user:默认为root;
-l:列出用户可以使用的命令;
-k:再次检票,执行命令需要再次输入用户密码;
-v:因为sudo在第一次执行时或是在N分钟内没有执行(N预设为五分钟)会问密码,这个参数是重新做一次确认,如果超过N分钟,也会询问密码;
-V:显示版本编号;
-b:将要执行的指令放在后台执行;

sudo命令的安全策略文件
/etc/sudoers
修改文件命令
visudo(有报错检查)

sudo还支持别名机制,可以通过别名来指明用户或者是命令
查看:man sudoers
常用别名格式:

Alias ::= 'User_Alias'  User_Alias (':' User_Alias)* |
               'Runas_Alias' Runas_Alias (':' Runas_Alias)* |
               'Host_Alias'  Host_Alias (':' Host_Alias)* |
               'Cmnd_Alias'  Cmnd_Alias (':' Cmnd_Alias)*

			     User_Alias ::= NAME '=' User_List
			
			     Runas_Alias ::= NAME '=' Runas_List
			
			     Host_Alias ::= NAME '=' Host_List
			
			     Cmnd_Alias ::= NAME '=' Cmnd_List
			
			     NAME ::= [A-Z]([A-Z][0-9]_)*

对用户做配置授权:
1)只允许user1用户和user2用户可以使用fdisk命令

User_Alias   USERADMINFD = user1,user2         //定义用户别名
Cmnd_Alias   COMMANDFD   = /usr/sbin/fdisk     //定义命令别名


root    ALL=(ALL)       ALL
USERADMINFD  ALL=(root) COMMANDFD
//这一行的意思是:允许哪些用户在哪个主机上以哪个用户的身份运行哪些命令
这里我指明的是:在USERADMIN这个别名当中的用户(user1,user2)
可以在所有主机上以root用户的身份运行COMMANDFD别名当中的命令

2)切换用户身份测试:

[root@www ~]# su - user1
Last login: Sat Mar  9 05:40:38 EST 2019 on pts/1
[user1@www ~]$ sudo -l            //查看当前用户可用的sudo命令
[sudo] password for user1: 
Matching Defaults entries for user1 on www:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME
    LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User user1 may run the following commands on www:
    (root) /usr/sbin/fdisk
[user1@www ~]$ 
[user1@www ~]$ sudo fdisk -l 

Disk /dev/sda: 21.5 GB, 21474836480 bytes, 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0x0005f749                     //运行成功

3)切换到user3这个不在安全策略文件中的用户试试

[root@www ~]# su - user3
Last login: Sat Mar  9 05:42:22 EST 2019 on pts/1
[user3@www ~]$ sudo -l
[sudo] password for user3: 
Sorry, user user3 may not run sudo on www.
[user3@www ~]$ 
[user3@www ~]$ sudo  fdisk -l
[sudo] password for user3: 
user3 is not in the sudoers file.  This incident will be reported.       //会提示user3在策略文件中没有定义
[user3@www ~]$

4)允许user3运行useradd,usermod,passwd命令

User_Alias  USERADMINUS  = user3
Cmnd_Alias   COMMADNUS   = /usrs/sbin/useradd,/usr/sbin/usermod,/usr/bin/passwd [a-z]*,!/usr/sin/passwd root   (指明passwd后面必须要接用户名,但不能是root)

USERADMINUS ALL=(root) NOPASSWD:COMMADNUS       //前面加NOPASSWD表明用户执行sudo操作时不用输入密码

5)切换到user3尝试创建用户

[root@www ~]# su - user3
Last login: Sat Mar  9 06:57:42 EST 2019 on pts/1
[user3@www ~]$ sudo -l 
Matching Defaults entries for user3 on www:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY
    HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User user3 may run the following commands on www:
    (root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd
[user3@www ~]$ 
[user3@www ~]$ sudo useradd jyy
[user3@www ~]$ sudo passwd jyy
Changing password for user jyy.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[user3@www ~]$ 
[user3@www ~]$ sudo passwd
[sudo] password for user3: 
Sorry, user user3 is not allowed to execute '/bin/passwd' as root on www.     //并不能修改root用户的密码
[user3@www ~]$ 
[user3@www ~]$ 
[user3@www ~]$ 
[user3@www ~]$ sudo passwd user1           //可以修改其他普通用户的密码
Changing password for user user1.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[user3@www ~]$
Linux权限管理— sudo授权
测试-八戒
08-19 3409
sbin/和/usr/sbin/以上两个目录下命令只有超级用户才能使用。sudo授权:把指定的命令授权给普通用户,让普通用户可以执行指定的命令。(只给用户授权执行一个命令的权限)原则上:赋予的权限越详细,普通用户得到的权限越小。赋予的权限越简单,普通用户得到的权限越大。
sudo实现管理授权
studywinwin的博客
02-20 511
sudo 命令 ls -l /usr/bin/sudo sudo -i -u zhangsan 切换身份 sudo [ -u user ] command -V 显示版本信息等配置信息 -u user 默认为 root -l,ll 列出用户在主机上可用的和被禁止的命令 -v 再延长密码有效期5分钟,更新时间戳 -k 清除时间戳(1970-01-01),下次需要重新输密码 -K ...
sudo授权
kanoeYuko的博客
02-08 664
sudo介绍 sudo 即superuser do,允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如 halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性 在最早之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先 告知超级用户的密码。sudo于1980年前后推出,sudo使一般用户不需要知道超级...
sudo命令的授权
weixin_43515220的博客
11-14 463
通过su命令我们可以非常方便地切换到另一个用户,去行使其他用户的权力(比如root用户),但前提是我们要知道其他用户的密码,这在很多实际环境中是不被允许的。 那我们就有一个折中的办法,使用sudo命令来提升权限,不过需要事先由管理员授权,指定允许哪些用户以root用户的身份来执行哪些命令。 先做个测试,我们使用test1用户来用yum安装apache,可以看到test用户是没有权限使用命令的。 [...
利用sudo实现授权
kingdom_xu的博客
09-08 315
范例1:对kobe用户实现挂载 /deev/cdrom /mnt 和取消挂载的授权 [root@centos8 ~]#su - kobe Last login: Tue Sep 8 17:18:50 CST 2020 on pts/1 [kobe@centos8 ~]$sudo mount /dev/cdrom /mnt [sudo] password for kobe: kobe is not in the sudoers file. This incident will be reported.
了解CentOS 7账号安全控制与sudo授权命令
qq_47300079的博客
06-13 781
sudo授权命令
账号安全控制与sudo授权命令(详细)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
12-01 2690
文章目录一、账号安全控制1、系统账号清理2、密码安全控制使用su命令切换用户linux中的PAM安全认证PAM 认证原理: 一、账号安全控制 1、系统账号清理 ●将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 ●锁定长期不使用的账号 usermod -L 用户名 锁定用户账户 passwd -l 用户名 锁定用户密码 passwd -S 用户名 查看
Linux sudo 漏洞可能导致未经授权的特权访问
09-14
然而,sudo命令近期被发现存在一个严重的安全漏洞,这个漏洞可能导致非授权用户获取root权限,执行原本受限的管理操作。 漏洞的核心在于,当/etc/sudoers文件中设置的规则允许用户以非root身份运行特定命令时,攻击...
小梦带你看——账号安全控制与sudo授权命令
weixin_51725822的博客
12-18 398
账号安全控制与sudo授权命令一、账号安全控制账号安全基本措施■系统账号清理■密码安全控制■命令历史限制■终端自动注销二、系统引导和登录控制2.1 使用su命令切换用户2.2 Linux中的PAM安全认证三、PAM认证原理:四、使用sudo机制提权4.1配置sudo授权4.2 别名创建五、开关机安全控制5.1 调整BIOS引导设置5.2 GRUB限制六、终端登录安全控制■限制root只在安全终端登录■禁止普通用户登录 一、账号安全控制 账号安全基本措施 ■系统账号清理 ●将非登录用户的Shell设为/sbi
账号安全控制与sudo授权命令┗( ▔, ▔ )┛
码里奥的博客
04-25 436
文章目录一、账号安全控制????1、系统账号清理????2、密码安全控制????3、命令历史限制????4、终端自动注销二、使用su命令切换用户????1、限制用户使用su命令三、Linux中的PAM安全认证四、PAM认证原理五、使用sudo机制提升权限1、配置sudo授权2、语法格式????3、别名创建六、开关机安全控制1、GRUB限制 一、账号安全控制 ????1、系统账号清理 ▶将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nolo
账号安全控制与sudo授权命令
weixin_62453238的博客
11-24 3041
一、账号安全控制 1、系统账号清理 ●将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 1 ●锁定长期不使用的账号 usermod -L 用户名 锁定用户账户 passwd -l 用户名 锁定用户密码 passwd -S 用户名 查看用户状态 1 2 3 ●删除无用的账号 userdel -r 用户名 删除用户及其宿主目录 ...
Linux基础-权限管理-sudo授权
weixin_43894981的博客
06-03 578
2、创建其他的用户,添加到sudo组中,ssh服务中增加”允许root用户登录“策略(修改sshd_config配置信息),并为root设置密码。/etc/shadow未设置密码,由于sshd的策略,root不可直接登陆服务器。/etc/ssh/sshd_config (sshd配置文件) --是否有登录策略。1、在ubuntu中不同于centos,用户属于sudo组,则拥有所有权限。1、linux服务器中,sshd进程负责远程ssh登录,并监听22端口。/etc/passwd --是否有用户信息。
一般用sudo 执行的需要授权
Free Lander
02-10 497
sudo chmod 777 /opt/tomcat/ -R
linux 用户授权(su/sudo
weixin_73199206的博客
09-20 784
etc/sudoer 是一个文本文件,有其特定的语法,不要直接用 vim 或者 vi 来进行编辑,而是采用 visudo 命令。需要注意的是只有root用户有该命令的执行权限。例:which ls 查看ls命令的存放位置。注:linux中一切皆文件,查看命令的存放位置使用 which 命令。缺:root密码容易泄露,普通用户的操作不可控。sudo的配置文件 : /etc/sudoer。sudo 命令:给普通用户授权,让用户执行特定的操作。二、切换至普通用户下,执行 >>>
sudo
kent_kent_kent的专栏
03-07 937
它的特性主要有这样几点: § sudo能够限制用户只在某台主机上运行某些命令。 § sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。 § sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变)。 § sudo的配置文件是sudoers文件,它允许系统
关于Linux sudo授权的那点事
刘元林的博客
08-26 1284
sudo可以让我们以其他用户的身份执行命令,而只需要自己的密码(甚至不需要密码)。这比su切换用户需要目标用户的密码要方便。从授权角度来审视,sudo比su的授权粒度要细很多,su属于大放权,例如:su - root,就直接拥有了root的所有权限。而sudo只有被授权的command才能被切换身份执行;更加安全,也便于进行权限管理。
Linux-sudo授权
老徐是个铁憨憨
04-21 661
sudo授权 在Linux的管理过程中,不是每一个系统管理员都被允许使用root来管理服务器的。但是总有些普通用户身份的管理员在管理过程中需要执行一些root才有权限的命令,那我们可以使用授权的方式解决。 sudo是Linux中用来进行命令授权的管理工具,可以通过授权的方式让某些普通用户执行只有管理员才能执行的命令,比如关机、重启等等,这样可以减少root身份的持有者,减少root的登录次数,以此...
Linux 权限管理_sudo授权 学习总结(三)
走向运维的老男孩的博客
05-01 1460
前面已经总结了基本权限、umask默认权限、ACL权限,想要了解的朋友可以直接拉到最底,通过传送门浏览查看。 本篇将要介绍sudo授权,sudo授权是在实际生产环境中常用的权限管理方式 ,是管理者对运维工程师授权的主要方式之一,所以要重点学习掌握,重点掌握如何授权,普通用户如何查询、使用。
复习linux——sudo授权
qq_54363472的博客
12-21 478
sudo允许系统管理员让普通用户执行一些或者全部的root命令的一个工具原理:超级用户将普通用户的名字、可以执行的特定命令、按哪种用户或用户组的身份执行等信息登记在特殊文件(/etc/sudoers)
linux用户授权sudo
最新发布
03-11
### 授予用户 Sudo 权限的方法 在 Linux 中,为了提高系统的安全性并允许特定用户执行管理员级别的命令而不必完全切换至 root 用户身份,可以授予这些用户 sudo 权限。这可以通过编辑 `/etc/sudoers` 文件或将用户添加到具有预定义权限的组来实现。 #### 方法一:通过修改 `sudoers` 文件授予权限 要直接向某个用户分配 sudo 访问权,可以在拥有适当权限的情况下手动编辑 `/etc/sudoers` 文件[^1]: ```bash visudo ``` 此命令将以安全的方式打开该配置文件用于编辑,并防止因语法错误而导致系统失去管理能力的风险。接着,在文件中找到默认为 root 定义的那一行之后新增一行,格式如下所示[^4]: ```plaintext username ALL=(ALL:ALL) ALL ``` 这里的 `username` 应替换为目标用户的实际用户名;第一个 `ALL` 表示可以从任何主机发出请求;第二个 `(ALL:ALL)` 意味着能够作为任意用户/群组的身份运行指令;最后一个 `ALL` 则指定了可被执行的所有命令集。 完成上述更改后保存退出即可生效。值得注意的是,直接编辑这个文件存在风险,因此建议谨慎操作或考虑更简便的办法——即利用现有的用户组机制来进行授权处理。 #### 方法二:将用户加入具备 sudo 特权的组 对于大多数现代 Linux 发行版本而言,最简单有效的方式来赋予某位成员 sudo 能力就是将其纳入一个已经设置好相应权限的特殊群体之中。通常情况下,“wheel” 或者 “sudo” 是两个常见的选择之一[^2]。 以 Ubuntu 为例,默认情况下新创建的标准账户会被自动放置于名为 'sudo' 的组内从而获得必要的控制权。而对于其他类型的环境,则可能需要显式地把目标账号追加进去: ```bash usermod -aG wheel username # 对应 CentOS/RHEL/Fedora/OpenSUSE 等平台 # 或者 usermod -aG sudo username # 针对 Debian/Ubuntu 类型系统适用 ``` 这里 `-aG` 参数的作用在于确保不会覆盖原有隶属关系的同时增加新的分组关联。同样地,请记得用具体的登录名代替模板中的 `username` 占位符部分。 一旦完成了以上任一种方式的操作,被指定的对象便拥有了临时提升自身权限的能力,能够在必要时刻借助 `sudo` 命令前缀来获取更高的访问级别而无需反复切换身份角色了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值