系统运维-23-3-Sudo基础知识

最新推荐文章于 2024-07-22 00:20:00 发布
原创 最新推荐文章于 2024-07-22 00:20:00 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sudo #visudo #alias #cmnd #token

本文介绍了Sudo的基础知识,包括其用于允许用户以其他用户身份运行命令的功能,重点讨论了`sudoers`配置文件的结构和权限设置。内容涵盖用户、主机、命令和别名配置项,以及如何编辑配置文件以授权特定用户执行特定命令。示例中展示了如何为用户分配权限,以及如何使用NOPASSWD选项进行无密码执行。

SUDO的基础知识

    su: Switch User

sudo
    可以让某个用户不用拥有另外一个账户的账号和密码,就可以执行操作
    授权之后,能够让某用户以另外一个用户的身份运行命令

注意:ubuntu等有时会限制 su - 为管理员,但 sudo su - 依然可以切换

配置文件:sudoers
    root      ALL=(ALL)       ALL
    %wheel    ALL=(ALL)       ALL

    who 运行命令者的身份 user
    where 通过哪些主机 host
    (whom) 以哪个用户的身份 runas
    which 运行哪些命令 command

    配置项
        user hosts=(runas) commands

        users:
            username
            #uid
            user_alias
            %group_name
            %#gid

        hosts:
            ip
            hostname
            netaddr

        command:
            command name
            directory
            sudoedit

            Alias_Type NAME = item1, item2, ...
                NAME必须使用全大写字母
                Alias_Type
                    User_Alias
                    Runas_Alias
                    Host_Alias
                    Cmnd_Alias

        sudo COMMAND
            -u user 默认为root
            -k 清除此前记录的登录密码

查看默认的配置文件

    [root@lab1 ~]# ll /etc | grep sudoers
    -r--r-----.  1 root root     3938 Jun  7  2017 sudoers
    drwxr-x---.  2 root root        6 Aug  4  2017 sudoers.d
    [root@lab1 ~]# grep -v ^# /etc/sudoers | grep -v ^$
    Defaults   !visiblepw
    Defaults    always_set_home
    Defaults    match_group_by_gid
    Defaults    env_reset
    Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
    Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
    Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
    Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
    Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
    Defaults    secure_path = /sbin:/bin:/usr/sb[root@lab1 ~]# sudo -u user001 whoami
    user001
    in:/usr/bin
    root    ALL=(ALL)     ALL
    %wheel    ALL=(ALL)    ALL
    [root@lab1 ~]# sudo -u user001 whoami
    user001
    [root@lab1 ~]# whoami
    root

测试默认权限

    [user001@lab1 ~]$ fdisk -l
    fdisk: cannot open /dev/sda: Permission denied
    fdisk: cannot open /dev/sr0: Permission denied
    fdisk: cannot open /dev/mapper/centos-root: Permission denied
    fdisk: cannot open /dev/mapper/centos-swap: Permission denied
    [user001@lab1 ~]$ sudo fdisk -l

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:

        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.
    [sudo] password for user001: 
    user001 is not in the sudoers file.  This incident will be reported.


    [root@lab1 ~]# usermod -a -G wheel user001
    You have new mail in /var/spool/mail/root
    [root@lab1 ~]# id user001
    uid=1025(user001) gid=1025(user001) groups=1025(user001),10(wheel)


    [user001@lab1 ~]$ fdisk -l
    fdisk: cannot open /dev/sda: Permission denied
    fdisk: cannot open /dev/sr0: Permission denied
    fdisk: cannot open /dev/mapper/centos-root: Permission denied
    fdisk: cannot open /dev/mapper/centos-swap: Permission denied
    [user001@lab1 ~]$ sudo fdisk -l
    [sudo] password for user001: 

    Disk /dev/sda: 21.5 GB, 21474836480 bytes, 41943040 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes
    Disk label type: dos
    Disk identifier: 0x000a2c70

       Device Boot      Start         End      Blocks   Id  System
    /dev/sda1   *        2048     2099199     1048576   83  Linux
    /dev/sda2         2099200    41943039    19921920   8e  Linux LVM

    Disk /dev/mapper/centos-root: 18.2 GB, 18249416704 bytes, 35643392 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes


    Disk /dev/mapper/centos-swap: 2147 MB, 2147483648 bytes, 4194304 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes

编辑配置文件

    [root@lab1 ~]# tail -4 /etc/sudoers
    User_Alias NETADMIN = netuser1,netuser2
    Cmnd_Alias NETADMINCMND = /usr/sbin/ip

    NETADMIN    ALL=(root)    NETADMINCMND

创建用户账号

    [root@lab1 ~]# useradd netuser1
    [root@lab1 ~]# useradd netuser2
    [root@lab1 ~]# echo "redhat" | passwd --stdin netuser1
    Changing password for user netuser1.
    passwd: all authentication tokens updated successfully.
    [root@lab1 ~]# echo "redhat" | passwd --stdin netuser2
    Changing password for user netuser2.
    passwd: all authentication tokens updated successfully.

切换用户查看授权

    [root@lab1 ~]# su - netuser1
    [netuser1@lab1 ~]$ sudo -l

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:

        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.

    [sudo] password for netuser1: 
    Matching Defaults entries for netuser1 on lab1:
        !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS
        DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR
        USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
        LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
        LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
        _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

    User netuser1 may run the following commands on lab1:
        (root) /usr/sbin/ip

指定用户的权限测试

    [netuser1@lab1 ~]$ sudo ip addr
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
           valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:b0:6e:59 brd ff:ff:ff:ff:ff:ff
        inet 172.20.0.131/24 brd 172.20.0.255 scope global dynamic ens33
           valid_lft 1264sec preferred_lft 1264sec
        inet6 fe80::3e66:b2a:5133:93d1/64 scope link 
           valid_lft forever preferred_lft forever
    [netuser1@lab1 ~]$ sudo route -n
    Sorry, user netuser1 is not allowed to execute '/sbin/route -n' as root on lab1.example.com.

清除检票

    [netuser1@lab1 ~]$ sudo -k

特殊权限(限制改管理员密码)

    [root@lab1 ~]# tail -5 /etc/sudoers
    User_Alias USERADMIN = poweruser1,poweruser2
    Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd

    USERADMIN    ALL=(root)    NOPASSWD:USERADMINCMND

    [root@lab1 ~]# useradd poweruser1
    [root@lab1 ~]# su - poweruser1
    [poweruser1@lab1 ~]$ sudo -l
    Matching Defaults entries for poweruser1 on lab1:
        !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS
        DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR
        USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
        LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
        LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
        _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

    User poweruser1 may run the following commands on lab1:
        (root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd
    [poweruser1@lab1 ~]$ useradd testuser
    -bash: /usr/sbin/useradd: Permission denied
    [poweruser1@lab1 ~]$ sudo useradd testuser
    oot@lab1 ~]# tail -4 /etc/sudoers
    Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd [a-z]*, !/usr/bin/passwd root

    USERADMIN    ALL=(root)    NOPASSWD:USERADMINCMND

    [root@lab1 ~]# su - poweruser1
    Last login: Wed May  8 07:25:35 EDT 2019 on pts/0
    [poweruser1@lab1 ~]$ sudo passwd root
    Sorry, user poweruser1 is not allowed to execute '/bin/passwd root' as root on lab1.example.com.
    [poweruser1@lab1 ~]$ sudo passwd netuser1
    Changing password for user netuser1.
    New password: 
    BAD PASSWORD: The password is shorter than 8 characters
    Retype new password: 
    passwd: all authentication tokens updated successfully.

Linux运维-服务器系统配置初始化脚本
xyh2004的博客
06-03 781
下面这个是一个简化的Linux服务器初始化脚本示例,它包括了更新软件包、安装常用工具、配置网络和安全设置等基本步骤:这个脚本提供了一个基本的初始化配置示例,包括软件更新、安装工具、配置网络、设置SSH和防火墙规则、清理不必要的文件等步骤。在实际应用中,您可能需要根据服务器的具体需求和配置调整这些步骤。
linux 添加用户、权限
weixin_30922589的博客
01-17 1626
# useradd –d /usr/sam -m sam 此命令创建了一个用户sam,其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam(/usr为默认的用户主目录所在的父目录)。 假设当前用户是sam,则下面的命令修改该用户自己的口令: #passwd Old password:****** New password:******* Re-enter new ...
fdisk查看外挂存储报错:cannot open /dev/sdb: Input/output error
热门推荐
skyfans的博客
12-21 1万+
情况描述:服务器要使用存储进行虚拟化平台搭建。 1.执行查看存储命令: fdisk 报错信息如下: fdisk: cannot open /dev/sdb: Input/output error 报错信息提示/dev/sdb出现了Input/output error。网上说,这种情况情况疑似硬盘分区表损坏!!! 2.使用lsscsi命令查看 lsscsi ll /sys/class/sc...
Linux用户、组
m0_51318597的博客
02-02 1629
用户组的基本概念 用户和组 系统上每一个进程都和用户相关,每一个进程的运行都是由特定用户运行的 每一个文件都由特定用户拥有 用户对文件和目录的访问都受到限制 运行中的进程所相关的用户来确定进程可以访问的文件和目录 每个使用者:用户标识、密码 组:用户组、用户容器 用户类别: 管理员 root 普通用户 登录用户 系统用户 /sbin/nologin 用户标识符:UID 管理员 0 普通用户:1-65535 系统用户:1-499 (Centos6)1-99...
Ubuntu / Linux 挂载已格式化磁盘 (重启系统后自动挂载)
程永强
10-18 4470
Ubuntu / Linux 挂载已格式化磁盘 (重启系统后自动挂载) 1. 已挂载磁盘信息,显示 Linux 系统上的文件系统的磁盘使用情况统计 amax@amax-server:~$ df -h Filesystem Size Used Avail Use% Mounted on udev 63G 0 63G 0% /dev tmpfs 13G 11M 13G 1% /run /dev/sda6 211G
在最爱的秋天学习 linux 之 su 和 sudo
以梦为马|越骑越傻
11-02 443
在最爱的秋天学习 linux 之 su 和 sudo
centos8挂硬盘
weixin_44048054的博客
04-19 2065
[root@nextcloud ~]# fdisk -l Disk /dev/sda:30 GiB,32212254720 字节,62914560 个扇区 单元:扇区 / 1 * 512 = 512 字节 扇区大小(逻辑/物理):512 字节 / 512 字节 I/O 大小(最小/最佳):512 字节 / 512 字节 磁盘标签类型:dos 磁盘标识符:0xd9346376 设备 启动 起点 末尾 扇区 大小 Id 类型 /dev/sda1 * 2048
Linux运维-运维构架师-day12-基础模块.zip
06-06
在“Linux运维-运维构架师-day12-基础模块.zip”这个压缩包中,我们很显然关注的是Linux系统运维和架构设计。这个课程可能是针对有一定基础的学习者,旨在深化他们对Linux系统管理的理解,特别是在运维架构方面。...
Linux运维-运维工具箱-18个 Shell脚本经典案例-视频1-2.zip
06-06
在Linux运维领域,Shell脚本是系统管理员的得力助手,它能自动化执行日常任务,提高工作效率。这个压缩包"Linux运维-运维工具箱-18个 Shell脚本经典案例-视频1-2.zip"提供了18个实用的Shell脚本示例,适合初学者和有...
Linux与自动化运维-第二章.pdf
09-13
本章主要涵盖了Linux系统的用户管理、权限控制以及磁盘管理和文件系统挂载等基础知识。以下是这些知识点的详细说明: 1. **用户分类**:Linux系统中有三种类型的用户:超级用户(root)、普通用户和系统用户。超级...
Linux与自动化运维-第二章.docx
09-13
在Linux自动化运维中,理解用户管理与权限控制是至关重要的。Linux系统中有三种类型的用户:超级用户...这些知识不仅涉及日常的系统管理,也是自动化脚本和工具开发的基础,能够提升运维效率并确保系统的稳定运行。
设置 sudo 用户
星月高悬
12-19 3557
sudo 免密
当尝试打开 /dev/mapper/centos-root 时 找不到有效的文件系统超级块.
三夜的技术博客
03-14 9963
原文链接 http://www.imooc.com/qadetail/100002?lastmedia=1 这种情况是因为你的centos7的某些分区用的是xfs的文件系统 (使用df -T查看即可知道) tumpe2fs是用来看ext的!!!你使用该命令查看分区类型为ext的分区发现不会报错。 然后关于如何查看xfs系统的磁盘状态:xfs_info 分区
蓝易云 - 解决CentOS中挂载/dev/mapper/centos-root到sysroot失败的问题
高性价比服务器就选:蓝易云
07-22 543
如果是因为未预期的关机或者其他原因导致文件系统在说“我还没准备好”的时候就被访问的话,fsck就是我们的救援队,要确保一切安全。关于内核参数,如果你要爬上这座高峰,但是你穿的鞋子不合适,那走起路来肯定跟走在针尖上一样。不要走捷径,不要惧怕其中的复杂性,一步一个脚印地检查每个环节,最后达到山顶的那一刻,系统平稳地响应你的每条指令,你会发现这一切努力都是值得的。在进行这修复旅程的过程中,你或许需要的不仅仅是耐心,还有对于每一个报错信息的深入了解,正如在攀岩时对于每一个岩点的把握必须精准一样。
关闭第一次sudo权限警告
AI_Fanatic的博客
12-18 4450
打开终端首次运行sudo都会抛出警告,内容如下: We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great respons
linux sudo 命令无法使用,Linux运维知识之解决Linux下无法使用sudo命令问题
weixin_30762363的博客
04-28 3577
本文主要向大家介绍了Linux运维知识之解决Linux下无法使用sudo命令问题,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。问题描述使用普通用户登录后在终端中执行sudo命令时提示以下错误:WetrustyouhavereceivedtheusuallecturefromthelocalSystemAdministrator.Itusually...
添加当前用户到sudoers里面
What the Fuck
05-21 5869
遇到这样的情况就是说明当前用户没有在sudoers里面[bluez@localhost ~]$ sudo ifconfigWe trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respec
linux复制用户登录文件,linux基础命令介绍一:用户与文件(三)
weixin_42609225的博客
04-28 273
不 断 前 行,方 可 不 被 淘 汰14、chown改变文件的所有者和所属组chown [OPTION]... [OWNER][:[GROUP]] FILE...如改变文件file1的所有者为learner:[root@centos7 temp]# chown learner file1[root@centos7 temp]# ls -l file1-rw-r--r-- 1 learner ro...
linux记录用户更新文件,linux基础命令介绍一:用户与文件
weixin_39663258的博客
04-28 304
linux系统是一个多用户多任务的分时操作系统,但系统并不能识别人,它通过账号来区别每个用户。每个linux系统在安装的过程中都要为root账号设置密码,这个root即为系统的第一个账号。每一个用这个账号登录系统的用户都是超级管理员,他们对此系统有绝对的控制权。通过向系统管理员进行申请,还可以为系统创建普通账号。每个用普通账号登录系统的用户,对系统都只有部分控制权。我们知道计算机中的数据是以二进制...
头歌实践教学平台大数据平台运维-Spark实战
最新发布
12-31
sudo apt-get update && sudo apt-get install -y openjdk-8-jdk scala git maven # 下载并解压Apache Hadoop和Spark发行版文件至指定目录下 wget ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值