系统运维-23-3-Sudo基础知识

理解Sudo:授权、配置与权限管理
最新推荐文章于 2024-07-22 00:20:00 发布
原创 最新推荐文章于 2024-07-22 00:20:00 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sudo #visudo #alias #cmnd #token

本文介绍了Sudo的基础知识,包括其用于允许用户以其他用户身份运行命令的功能,重点讨论了`sudoers`配置文件的结构和权限设置。内容涵盖用户、主机、命令和别名配置项,以及如何编辑配置文件以授权特定用户执行特定命令。示例中展示了如何为用户分配权限,以及如何使用NOPASSWD选项进行无密码执行。

SUDO的基础知识

    su: Switch User

sudo
    可以让某个用户不用拥有另外一个账户的账号和密码,就可以执行操作
    授权之后,能够让某用户以另外一个用户的身份运行命令

注意:ubuntu等有时会限制 su - 为管理员,但 sudo su - 依然可以切换

配置文件:sudoers
    root      ALL=(ALL)       ALL
    %wheel    ALL=(ALL)       ALL

    who 运行命令者的身份 user
    where 通过哪些主机 host
    (whom) 以哪个用户的身份 runas
    which 运行哪些命令 command

    配置项
        user hosts=(runas) commands

        users:
            username
            #uid
            user_alias
            %group_name
            %#gid

        hosts:
            ip
            hostname
            netaddr

        command:
            command name
            directory
            sudoedit

            Alias_Type NAME = item1, item2, ...
                NAME必须使用全大写字母
                Alias_Type
                    User_Alias
                    Runas_Alias
                    Host_Alias
                    Cmnd_Alias

        sudo COMMAND
            -u user 默认为root
            -k 清除此前记录的登录密码

查看默认的配置文件

    [root@lab1 ~]# ll /etc | grep sudoers
    -r--r-----.  1 root root     3938 Jun  7  2017 sudoers
    drwxr-x---.  2 root root        6 Aug  4  2017 sudoers.d
    [root@lab1 ~]# grep -v ^# /etc/sudoers | grep -v ^$
    Defaults   !visiblepw
    Defaults    always_set_home
    Defaults    match_group_by_gid
    Defaults    env_reset
    Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
    Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
    Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
    Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
    Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
    Defaults    secure_path = /sbin:/bin:/usr/sb[root@lab1 ~]# sudo -u user001 whoami
    user001
    in:/usr/bin
    root    ALL=(ALL)     ALL
    %wheel    ALL=(ALL)    ALL
    [root@lab1 ~]# sudo -u user001 whoami
    user001
    [root@lab1 ~]# whoami
    root

测试默认权限

    [user001@lab1 ~]$ fdisk -l
    fdisk: cannot open /dev/sda: Permission denied
    fdisk: cannot open /dev/sr0: Permission denied
    fdisk: cannot open /dev/mapper/centos-root: Permission denied
    fdisk: cannot open /dev/mapper/centos-swap: Permission denied
    [user001@lab1 ~]$ sudo fdisk -l

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:

        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.
    [sudo] password for user001: 
    user001 is not in the sudoers file.  This incident will be reported.


    [root@lab1 ~]# usermod -a -G wheel user001
    You have new mail in /var/spool/mail/root
    [root@lab1 ~]# id user001
    uid=1025(user001) gid=1025(user001) groups=1025(user001),10(wheel)


    [user001@lab1 ~]$ fdisk -l
    fdisk: cannot open /dev/sda: Permission denied
    fdisk: cannot open /dev/sr0: Permission denied
    fdisk: cannot open /dev/mapper/centos-root: Permission denied
    fdisk: cannot open /dev/mapper/centos-swap: Permission denied
    [user001@lab1 ~]$ sudo fdisk -l
    [sudo] password for user001: 

    Disk /dev/sda: 21.5 GB, 21474836480 bytes, 41943040 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes
    Disk label type: dos
    Disk identifier: 0x000a2c70

       Device Boot      Start         End      Blocks   Id  System
    /dev/sda1   *        2048     2099199     1048576   83  Linux
    /dev/sda2         2099200    41943039    19921920   8e  Linux LVM

    Disk /dev/mapper/centos-root: 18.2 GB, 18249416704 bytes, 35643392 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes


    Disk /dev/mapper/centos-swap: 2147 MB, 2147483648 bytes, 4194304 sectors
    Units = sectors of 1 * 512 = 512 bytes
    Sector size (logical/physical): 512 bytes / 512 bytes
    I/O size (minimum/optimal): 512 bytes / 512 bytes

编辑配置文件

    [root@lab1 ~]# tail -4 /etc/sudoers
    User_Alias NETADMIN = netuser1,netuser2
    Cmnd_Alias NETADMINCMND = /usr/sbin/ip

    NETADMIN    ALL=(root)    NETADMINCMND

创建用户账号

    [root@lab1 ~]# useradd netuser1
    [root@lab1 ~]# useradd netuser2
    [root@lab1 ~]# echo "redhat" | passwd --stdin netuser1
    Changing password for user netuser1.
    passwd: all authentication tokens updated successfully.
    [root@lab1 ~]# echo "redhat" | passwd --stdin netuser2
    Changing password for user netuser2.
    passwd: all authentication tokens updated successfully.

切换用户查看授权

    [root@lab1 ~]# su - netuser1
    [netuser1@lab1 ~]$ sudo -l

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:

        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.

    [sudo] password for netuser1: 
    Matching Defaults entries for netuser1 on lab1:
        !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS
        DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR
        USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
        LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
        LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
        _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

    User netuser1 may run the following commands on lab1:
        (root) /usr/sbin/ip

指定用户的权限测试

    [netuser1@lab1 ~]$ sudo ip addr
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
           valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:b0:6e:59 brd ff:ff:ff:ff:ff:ff
        inet 172.20.0.131/24 brd 172.20.0.255 scope global dynamic ens33
           valid_lft 1264sec preferred_lft 1264sec
        inet6 fe80::3e66:b2a:5133:93d1/64 scope link 
           valid_lft forever preferred_lft forever
    [netuser1@lab1 ~]$ sudo route -n
    Sorry, user netuser1 is not allowed to execute '/sbin/route -n' as root on lab1.example.com.

清除检票

    [netuser1@lab1 ~]$ sudo -k

特殊权限(限制改管理员密码)

    [root@lab1 ~]# tail -5 /etc/sudoers
    User_Alias USERADMIN = poweruser1,poweruser2
    Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd

    USERADMIN    ALL=(root)    NOPASSWD:USERADMINCMND

    [root@lab1 ~]# useradd poweruser1
    [root@lab1 ~]# su - poweruser1
    [poweruser1@lab1 ~]$ sudo -l
    Matching Defaults entries for poweruser1 on lab1:
        !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS
        DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR
        USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
        LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
        LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
        _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

    User poweruser1 may run the following commands on lab1:
        (root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd
    [poweruser1@lab1 ~]$ useradd testuser
    -bash: /usr/sbin/useradd: Permission denied
    [poweruser1@lab1 ~]$ sudo useradd testuser
    oot@lab1 ~]# tail -4 /etc/sudoers
    Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd [a-z]*, !/usr/bin/passwd root

    USERADMIN    ALL=(root)    NOPASSWD:USERADMINCMND

    [root@lab1 ~]# su - poweruser1
    Last login: Wed May  8 07:25:35 EDT 2019 on pts/0
    [poweruser1@lab1 ~]$ sudo passwd root
    Sorry, user poweruser1 is not allowed to execute '/bin/passwd root' as root on lab1.example.com.
    [poweruser1@lab1 ~]$ sudo passwd netuser1
    Changing password for user netuser1.
    New password: 
    BAD PASSWORD: The password is shorter than 8 characters
    Retype new password: 
    passwd: all authentication tokens updated successfully.

Linux运维-服务器系统配置初始化脚本
xyh2004的博客
06-03 780
下面这个是一个简化的Linux服务器初始化脚本示例,它包括了更新软件包、安装常用工具、配置网络和安全设置等基本步骤:这个脚本提供了一个基本的初始化配置示例,包括软件更新、安装工具、配置网络、设置SSH和防火墙规则、清理不必要的文件等步骤。在实际应用中,您可能需要根据服务器的具体需求和配置调整这些步骤。
linux 添加用户、权限
weixin_30922589的博客
01-17 1626
# useradd –d /usr/sam -m sam 此命令创建了一个用户sam,其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam(/usr为默认的用户主目录所在的父目录)。 假设当前用户是sam,则下面的命令修改该用户自己的口令: #passwd Old password:****** New password:******* Re-enter new ...
fdisk查看外挂存储报错:cannot open /dev/sdb: Input/output error
热门推荐
skyfans的博客
12-21 1万+
情况描述:服务器要使用存储进行虚拟化平台搭建。 1.执行查看存储命令: fdisk 报错信息如下: fdisk: cannot open /dev/sdb: Input/output error 报错信息提示/dev/sdb出现了Input/output error。网上说,这种情况情况疑似硬盘分区表损坏!!! 2.使用lsscsi命令查看 lsscsi ll /sys/class/sc...
在最爱的秋天学习 linux 之 su 和 sudo
以梦为马|越骑越傻
11-02 443
在最爱的秋天学习 linux 之 su 和 sudo
设置 sudo 用户
星月高悬
12-19 3557
sudo 免密
蓝易云 - 解决CentOS中挂载/dev/mapper/centos-root到sysroot失败的问题
高性价比服务器就选:蓝易云
07-22 543
如果是因为未预期的关机或者其他原因导致文件系统在说“我还没准备好”的时候就被访问的话,fsck就是我们的救援队,要确保一切安全。关于内核参数,如果你要爬上这座高峰,但是你穿的鞋子不合适,那走起路来肯定跟走在针尖上一样。不要走捷径,不要惧怕其中的复杂性,一步一个脚印地检查每个环节,最后达到山顶的那一刻,系统平稳地响应你的每条指令,你会发现这一切努力都是值得的。在进行这修复旅程的过程中,你或许需要的不仅仅是耐心,还有对于每一个报错信息的深入了解,正如在攀岩时对于每一个岩点的把握必须精准一样。
关闭第一次sudo权限警告
AI_Fanatic的博客
12-18 4446
打开终端首次运行sudo都会抛出警告,内容如下: We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great respons
Linux运维-运维构架师-day12-基础模块.zip
06-06
在“Linux运维-运维构架师-day12-基础模块.zip”这个压缩包中,我们很显然关注的是Linux系统运维和架构设计。这个课程可能是针对有一定基础的学习者,旨在深化他们对Linux系统管理的理解,特别是在运维架构方面。...
Linux运维-运维工具箱-18个 Shell脚本经典案例-视频1-2.zip
06-06
在Linux运维领域,Shell脚本是系统管理员的得力助手,它能自动化执行日常任务,提高工作效率。这个压缩包"Linux运维-运维工具箱-18个 Shell脚本经典案例-视频1-2.zip"提供了18个实用的Shell脚本示例,适合初学者和有...
Linux与自动化运维-第二章.pdf
09-13
本章主要涵盖了Linux系统的用户管理、权限控制以及磁盘管理和文件系统挂载等基础知识。以下是这些知识点的详细说明: 1. **用户分类**:Linux系统中有三种类型的用户:超级用户(root)、普通用户和系统用户。超级...
Linux与自动化运维-第二章.docx
09-13
在Linux自动化运维中,理解用户管理与权限控制是至关重要的。Linux系统中有三种类型的用户:超级用户...这些知识不仅涉及日常的系统管理,也是自动化脚本和工具开发的基础,能够提升运维效率并确保系统的稳定运行。
linux sudo 命令无法使用,Linux运维知识之解决Linux下无法使用sudo命令问题
weixin_30762363的博客
04-28 3577
本文主要向大家介绍了Linux运维知识之解决Linux下无法使用sudo命令问题,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。问题描述使用普通用户登录后在终端中执行sudo命令时提示以下错误:WetrustyouhavereceivedtheusuallecturefromthelocalSystemAdministrator.Itusually...
linux复制用户登录文件,linux基础命令介绍一:用户与文件(三)
weixin_42609225的博客
04-28 273
不 断 前 行,方 可 不 被 淘 汰14、chown改变文件的所有者和所属组chown [OPTION]... [OWNER][:[GROUP]] FILE...如改变文件file1的所有者为learner:[root@centos7 temp]# chown learner file1[root@centos7 temp]# ls -l file1-rw-r--r-- 1 learner ro...
linux记录用户更新文件,linux基础命令介绍一:用户与文件
weixin_39663258的博客
04-28 304
linux系统是一个多用户多任务的分时操作系统,但系统并不能识别人,它通过账号来区别每个用户。每个linux系统在安装的过程中都要为root账号设置密码,这个root即为系统的第一个账号。每一个用这个账号登录系统的用户都是超级管理员,他们对此系统有绝对的控制权。通过向系统管理员进行申请,还可以为系统创建普通账号。每个用普通账号登录系统的用户,对系统都只有部分控制权。我们知道计算机中的数据是以二进制...
centos7上删除分区出现 Can't open /dev/vda1 exclusively . Mounted filesystem?
董广明的博客
11-28 6459
在centos7上删除分区时,出现现象和解决方法   参考  LVM 'Can’t open /dev/sdb1 exclusively. Mounted filesystem?' Problem
3.2 linux用户管理 : 用户CRUD 【就是对/etc/passwd数据库的修改】
one_chao的博客
04-09 1080
3.2 linux用户管理 : 用户CRUD 【就是对/etc/passwd数据库的修改】 1.增加用户useradd adduser $ useradd / adduser <userName> ##增加用户 $ passwd <userName>##设置密码 $ userdel <userName> ##删除用户 只有debian 的sudo 和RedHa...
linux系统/dev/mapper/centos-root目录100%的问题
蓝色格子ren的博客
01-18 5805
在使用系统一段时间后,发现使用linux的tab键或者运行容器时,提示无法为立即文档创建临时文件: 设备上没有空间,于是通过df -h命令查看目录的使用情况。 此时发现/dev/mapper/centos-root目录使用率为100%。此时首先会想到删除一些nacos的logs日志,或者删除docker,jenkins的缓存。初次之外还有一些其他的方式。 处理方式一:lsof方式杀死僵尸进程 系统中,有时候我们删除文件,但是进程依旧存在,占用磁盘空间,我们需要用lsof命令删除进程。具体命令如下:lsof
虚拟机centos7无法正常启动
任我行的博客
09-03 6250
现象 [ 2.430354] sd 0:0:0:0: [sda] Assuming drive cache: write through [ 3.852S62] XFS (dm-0): Metadata corruption detected at xfs_agi_write_verify+8xb5/0>«:0 [xfs]> xfs _agi block 0xl?7f002 [ 3.852991] XFS (dm-0): Unmount and run xfs_repair [ 3.853004
Cannot open /dev/ttyS0: Permission denied解决
onceNews的博客
05-14 3600
Cannot open /dev/ttyS0: Permission denied解决 今天在ubuntu12.04上运行Serial port terminal 出现了Cannot open /dev/ttyS0: Permission denied提示字样 解决方法如下: 1.由于tty属于“dialout”组别,比如用户名是joeuser, 先命令...
头歌实践教学平台大数据平台运维-Spark实战
最新发布
12-31
sudo apt-get update && sudo apt-get install -y openjdk-8-jdk scala git maven # 下载并解压Apache Hadoop和Spark发行版文件至指定目录下 wget ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值