/etc/sudoers中的含义

最新推荐文章于 2025-06-15 16:39:57 发布
最新推荐文章于 2025-06-15 16:39:57 发布
阅读量683 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: Sybase 配置管理 Oracle 资讯 Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ishuang/article/details/83494131

Sudo 是允许系统管理员让普通用户执行一些或者全部的root 命令的一个工具,如halt,reboot,su 等等。这样不仅减少了root 用户的登陆 和管理时间,同样也提高了安全性。Sudo 不是对shell 的一个代替,它是面向每个命令的。

 

它的特性主要有这样几点:
§ Sudo 能够限制用户只在某台主机上运行某些命令。
§ Sudo 提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。
§ Sudo 使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变)。
§ Sudo 的配置文件是sudoers 文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers ,属性必须为0411。

编辑配置文件命令:visudo
默认配置文件位置:/etc/sudoers


[root@localhost ~]# cat /etc/sudoers
# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# Host alias specification

# User alias specification

# Cmnd alias specification

# Defaults specification

# Runas alias specification

# User privilege specification
root ALL=(ALL) ALL

# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL

# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

# Samples
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now
[root@localhost ~]#

可以用visudo 编辑sudoers 配置文件,不过也可以直接通过修改sudoers 文件实现,不过编辑之前最好看一下它的sample.sudoers 文件,里面有一个相当详细的例子可以参考。
#第一部分:用户定义,将用户分为FULLTIMERS、PARTTIMERSWEBMASTERS 三类。


User_Alias FULLTIMERS = millert, mikef, dowdy
User_Alias PARTTIMERS = bostley, jwfox, crawl
User_Alias WEBMASTERS = will, wendy, wim


#第二部分,将操作类型分类。


Runas_Alias OP = root, operator
Runas_Alias DB = oracle, sybase


#第三部分,将主机分类。这些都是随便分得,目的是为了更好地管理。


Host_Alias SPARC = bigtime, eclipse, moet, anchor :\
SGI = grolsch, dandelion, black :\
ALPHA = widget, thalamus, foobar :\
HPPA = boa, nag, python
Host_Alias CUNETS = 128.138.0.0/255.255.0.0
Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0
Host_Alias SERVERS = master, mail, www, ns
Host_Alias CDROM = orion, perseus, hercules


#第四部分,定义命令和命令地路径。命令一定要使用绝对路径,避免其他目录的同名命令被执行,造成安全隐患 ,因此使用的时候也是使用绝对路径!


Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\
/usr/sbin/restore, /usr/sbin/rrestore
Cmnd_Alias KILL = /usr/bin/kill
Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm
Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown
Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt
Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot
Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \
/usr/local/bin/tcsh, /usr/bin/rsh, \
/usr/local/bin/zsh
Cmnd_Alias SU = /usr/bin/su


# 这里是针对不同的用户采用不同地策略,比如默认所有的syslog直接通过auth 输出。FULLTIMERS组不用看到lecture(第一次运行时产生的消息);用户millert使用sudo时不用输入密码;以及logfile的 路径在/var/log/sudo.log而且每一行日志中必须包括年。


Defaults syslog=auth
Defaults:FULLTIMERS !lecture
Defaults:millert !authenticate
Defaults@SERVERS log_year, logfile=/var/log/sudo.log


rootwheel 组的成员拥有任何权利。 如果想对一组用户进行定义,可以在组名前加上%,对其进行设置.


root ALL = (ALL) ALL
%wheel ALL = (ALL) ALL


#FULLTIMERS可以运行任何命令在任何主机而不用输入自己的密码
FULLTIMERS ALL = NOPASSWD: ALL
#PARTTIMERS 可以运行任何命令在任何主机,但是必须先验证自己的密码。
PARTTIMERS ALL = ALL
#jack可以运行任何命令在定义地CSNET(128.138.243.0, 128.138.242.0和 128.138.204.0/24 的子网 中,不过注意前两个不需要匹配子网掩码,而后一个必须匹配掩码。
jack CSNETS = ALL
#lisa 可以运行任何命令在定义为CUNETS(128.138.0.0) 的子网中主机上。
lisa CUNETS = ALL
#用户operator 可以运行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT 以及在/usr/oper/bin 中的所有命令。
operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\
/usr/oper/bin/
#joe 可以运行su operator 命令
joe ALL = /usr/bin/su operator
#pete 可以为除root 之外地用户修改密码。
pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root
#bob 可以在SPARCSGI 机器上和OP 用户组中的rootoperator 一样运行如何命令。
bob SPARC = (OP) ALL : SGI = (OP) ALL
#jim 可以运行任何命令在biglab 网络组中。Sudo 默认“+”是一个网络组地前缀。
jim +biglab = ALL
secretaries 中地用户帮助管理打印机,并且可以运行adduserrmuser 命令。
+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser
#fred 能够直接运行oracle 或者sybase 数据库。
fred ALL = (DB) NOPASSWD: ALL
#john 可以在ALPHA 机器上,su 除了root 之外地所有人。
john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*
#jen 可以在除了SERVERS 主机组的机器上运行任何命令。
jen ALL, !SERVERS = ALL
#jill 可以在SERVERS 上运行/usr/bin/ 中的除了sushell 命令之外的所有命令。
jill SERVERS = /usr/bin/, !SU, !SHELLS
#steve 可以作为普通用户运行在CSNETS主机上的/usr/local/op_commands/ 内的任何命令。
steve CSNETS = (operator) /usr/local/op_commands/
#matt 可以在他的个人工作站上运行kill 命令。
matt valkyrie = KILL
#WEBMASTERS 用户组中的用户可以以 www 的用户名运行任何命令或者可以su www
WEBMASTERS www = (www) ALL, (root) /usr/bin/su www
#任何用户可以mount 或者umount 一个cd-romCDROM 主机上,而不用输入密码。
ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\
/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM

三,使用


指令名称:sudo
使用权限:在 /etc/sudoers 中有出现的使用者
使用方式:sudo -V
sudo -h
sudo -l
sudo -v
sudo -k
sudo -s
sudo -H
sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s


用法:sudo command
说明:以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行


参数:
-V 显示版本编号
-h 会显示版本编号及指令的使用方式说明
-l 显示出自己(执行 sudo 的使用者)的权限
-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行( N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码
-k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)
-b 将要执行的指令放在背景执行
-p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称
-u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)
-s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell
-H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root
command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令


范例:
sudo -l 列出目前的权限
sudo -V 列出 sudo 的版本资讯
指令名称:sudoers (在fc5 下显示不能找到此命令,但用man 可以查到其用法。)
用来显示可以使用sudo 的用户

Linux - /etc/文件夹
08-11 1238
etc:etcetera(存放Linux中的配置文件) cat /etc/os-release vim /etc/ssh/sshd_config ssh(安全外壳协议):Secure Shell tail /etc/passwd tail /etc/group vim /etc/sudoers (具有专属命令:visudo) vim /...
详解Linux下的sudo及其配置文件/etc/sudoers的详细配置
09-15
主要介绍了详解Linux下的sudo及其配置文件/etc/sudoers的详细配置的相关资料,需要的朋友可以参考下
【转】/etc/sudoers配置文件详解
weixin_33695082的博客
01-08 742
2019独角兽企业重金招聘Python工程师标准>>> ...
如何设置sudo权限
最新发布
weixin_74865793的博客
06-15 316
【代码】如何设置sudo权限。
/etc/sudoers
程永强
10-31 524
/etc/sudoers 1. sudo cat /etc/sudoers strong@foreverstrong:~$ cat /etc/sudoers cat: /etc/sudoers: Permission denied strong@foreverstrong:~$ strong@foreverstrong:~$ sudo cat /etc/sudoers [sudo] password for strong: # # This file MUST be edited with the 'vis
/etc/sudoers文件解析
热门推荐
Shanfenglan's blog
10-30 9万+
CATALOG前言规则讲解第一部分A第二部分B第三部分C第四部分D第五部分E举例 前言 /etc/sudoers文件一般涉及到linux系统中关于sudo命令的权限配置问题。 规则讲解 sudoers文件的数据,每一行分为五个部分,我们用ABCDE来表示。 一般情况下是: A B = {©} {D} E 且C与D是可以省略的,我们用大括号扩起来方便大家注意到,但真正书写命令的时候不需要打括号。 第一个部分A代表授权使用sudo的用户或者组 第二部分B代表允许授权用户在哪些主机上使用这些权利 第三部分C代
sudo配置文件/etc/sudoers深入介绍
qq_27546717的博客
08-28 8934
简介 sudo命令对应的用户权限授权配置文件为/etc/sudoers,我们可以使用专用工具visudo来完成有关sudo的授权管理配置,使用visudo工具的好处是在添加规则之后,保存退出时会检查授权配置的语法(这一点很重要,曾经有人直接用vi编辑/etc/sudoers,最后配置发生了错误,造成所有普通用户都无法通过sudo执行命令以及切换到超级root上了)。 /etc/sudoers配置语法注意事项 ❏命令别名下的成员必须是文件或目录的绝对路径。 ❏别名名称包含大写字母、数字、下划线等,如果是字母则
执行visudo命令,打开/etc/sudoers文件: 在root用户下,输入visudo命令以安全地编辑/etc/sudoers文件。具体步骤
03-20
好的,我现在需要向用户介绍如何使用visudo命令安全地编辑/etc/sudoers文件。首先,我得确认自己对这一过程的理解是否正确,然后再一步步解释清楚。 首先,visudo命令的作用是什么?它是用来编辑sudoers文件的工具...
【Linux】Linux中用户信息相关的配置文件:/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers
追寻梦想的青春
12-26 1113
作为管理的角度来说,通常建议直接是在/etc/sudoers.d/目录下新增配置文件,然后开启/etc/sudoers配置文件中的加载/etc/sudoers.d的配置。从权限的角度来说,确实是这样,但是,由于root用户是超级用户,拥有对所有文件的完全访问权限,换句话说,即便文件权限是000,root用户依然可以查看和修改。为了安全,/etc/sudoers配置文件的权限是440,也就是说,只允许root用户和root用户组的用户查看,难道说,该文件不允许修改?命令修改/etc/sudoers文件。
linux 提升普通用户成为管理员(/etc/sudoers文件的配置)
03-08
好的,用户现在问的是如何将Linux中的普通用户提升为管理员,特别是通过配置/etc/sudoers文件。之前用户已经询问过添加组、用户到组以及设置管理员的相关操作,所以我需要确保这次的回答既全面又不重复,同时突出/...
``` getenforce#查看SELinux 安全机制 setenforce 0#将 SELinux 的执行模式从强制模式(Enforcing)切换为宽松模式(Permissive) cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service#将文件中以"Type="开头的行替换为"Type=simple";包含"ExecStart="的行中,将"/usr/sbin/sshd"替换为"/usr/local/sbin/sshd" sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config#将/etc/ssh/sshd_config文件中的"GSSAPIAuthentication"替换为"#GSSAPIAuthentication" sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service source /etc/profile sshd -V useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ```
07-14
这段代码看起来是一系列的命令,用于进行系统配置和安装操作。请注意,这些命令可能会对系统进行重要的更改和安装软件包,因此在运行...请确保你对这些命令的含义和可能的影响有清楚的了解,并在合适的环境中运行它们。
Linux下的sudo及其配置文件/etc/sudoers的详细配置说明
都是曾经而已
10-24 6654
Linux下的sudo及其配置文件/etc/sudoers的详细配置说明 1.sudo介绍 sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等等。这样不仅减少了root用户的登陆 和管理时间,同样也提高了安全性。Sudo不是对shell的一个代替,它是面向每个命令的。它的特性主要有这样
Linux下的sudo及其配置文件/etc/sudoers详细配置
beeworkshop的博客
11-16 5210
文章目录1.sudo介绍2.配置文件/etc/sudoers2.1. 最简单的配置,让普通用户support具有root的所有权限2.2. 让普通用户support只能在某几台服务器上,执行root能执行的某些命令1) 配置Host_Alias:就是主机的列表2) 配置Cmnd_Alias:就是允许执行的命令的列表3) 配置User_Alias:就是具有sudo权限的用户的列表4) 配置Runas_Alias:就是用户以什么身份执行(例如root,或者oracle)的列表 1.sudo介绍 sudo是li
【Linux】让渡用户权限(/etc/sudoers
XavierJ的博客
06-09 2575
本文将讨论如何在 Linux 中让渡根用户的部分权限给其它普通用户。我们知道 Linux 的上帝只有也只能有一个,就是根用户 root,作为掌握根用户的系统管理员,理论上最好也只有一个。但在很多情况下,如多人共管主机,某些用户请求执行某些需要根用户权限的命令,或者系统管理员忙不过来的时候,就需要共享部分根用户权限给其他人了。将系统根用户密码告诉很多人,从安全角度考虑显然不是一个好的选择,这往往会成为灾难事件的开端。那么应该如何做呢?sudo 命令给我们提供了一个不需要根用户密码,也能执行根用户权限命令的途径
Linux sudo与/etc/sudoers
weixin_38452632的博客
01-24 2058
Defaults env_reset: 这个行指定了默认的环境变量重置规则,当用户使用sudo命令时,环境变量将被重置为默认值。Defaults mail_badpass: 这个行指定了当用户输入错误密码时,系统会发送邮件通知。Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin": 这个行指定了sudo命令的安全路径,即sudo命令可以在这些路径下执行。
/etc/sudoers (root权限管理)
weixin_34252090的博客
09-03 1055
sudoers 实例: 因为sudoers文件是进行单次语法解析的,所以顺序是相当重要的。一般来说,你应该像这样组织sudoers,Host_Alias\User_Alias\Cmnd_Alias定义首先定义,然后紧跟Default_Entry行,最后是Runas_Alias和用户自定义。最基本的经验方法是你不能引用没有被定义的Alias。下面是sudoers条目实例,无可...
/etc/sudoers配置文件详解
weixin_33984032的博客
08-17 335
命令sudosu - 可以用来切换身份,有-:系统环境变量随着切换直接切过去,没有-:就是系统跟环境变量会不一样/etc/sudoers配置文件详解a.可以使用visudo命令,有错误的时候会提示b.vim /etc/sudoers#Allow root to run any commands anywhererootAll=(All)Alltest...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值