生产环境sudo配置详细指南

Linux sudo配置与MFA设置指南
原创 已于 2025-08-14 22:42:04 修改 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #linux #运维 #sudo #MFA #sudoers #NOPASSWD

于 2025-08-14 22:40:54 首次发布

目录

1. 语法格式

2. 配置示例

3. 使用 /etc/sudoers.d/ 目录管理(推荐)

4. 基础配置:用户权限管理

4.1 ​​添加用户到sudo组

​​4.2 验证用户组信息

5. sudo日志配置

5.1 修改sudoers配置文件

5.2 创建日志目录与权限设置

6. Sudoreplay回放 sudo 记录

6.1 列出可回放的 sudo 记录

6.2 回放指定的 sudo 操作

​7. 配置MFA令牌

7.1 安装 Google Authenticator PAM 模块

7.2 用户配置 MFA

7.3 配置 PAM 以支持 sudo MFA

7.3.1 仅对特定用户组启用 MFA(推荐)

7.3.2 配置组内用户必须 MFA

sudoSuper User DO)是 Linux/Unix 系统中授权普通用户以特权身份执行命令的核心工具。它通过精细的权限控制,避免直接使用 root 账户,大幅提升系统安全性。以下为全面解析:

1. 语法格式

<用户/用户别名>    <主机/主机别名>=(<运行身份>)     <命令/命令别名>

  • <用户>:被授权的普通用户(如alice)。
  • <主机>:允许执行命令的主机(ALL表示所有主机)。
  • <运行身份>:允许切换到的用户(root表示超级用户,ALL表示所有用户)。
  • <命令>:允许执行的具体命令(需写绝对路径,如/bin/ls)。

2. 配置示例

  • 示例 1:允许用户aliceweb1主机上以root身份执行nginx相关命令

    alice web1=(root) /usr/bin/systemctl restart nginx, /usr/bin/nginx -t

  • 示例 2:通过别名简化配置(允许ADMINS组在WEBSERVERS主机上执行NGINX_CMD命令)

    User_Alias ADMINS = alice, bob
Host_Alias WEBSERVERS = web1, web2
Cmnd_Alias NGINX_CMD = /usr/bin/systemctl restart nginx, /usr/bin/nginx -t
ADMINS WEBSERVERS=(root) NGINX_CMD

  • 示例 3:允许用户bob无需输入密码执行指定命令(谨慎使用)

    bob ALL=(root) NOPASSWD: /usr/bin/rsync /data/backup/ /remote/backup/

    注:NOPASSWD会跳过密码验证,仅建议用于自动化脚本场景(如cron任务),且命令需严格限制范围。

3. 使用 /etc/sudoers.d/ 目录管理(推荐)

# 创建模块化配置
echo 'DBA ALL=(ALL) /usr/bin/mysql, /bin/systemctl restart mysqld' | sudo tee /etc/sudoers.d/dba
sudo chmod 440 /etc/sudoers.d/dba

    4. 基础配置:用户权限管理

    4.1 ​​添加用户到sudo组

    usermod -aG wheel yq  # 将用户加入wheel组(默认sudo授权组)

    ​4.2 验证用户组信息

    groups  yq  # 确认用户已加入wheel组

    5. sudo日志配置

    5.1 修改sudoers配置文件

    visudo  # 使用安全编辑器修改配置

    在文件末尾添加以下配置:

    # 指定独立日志文件
Defaults logfile=/var/log/sudo.log
# 启用命令输入输出记录(会话回放功能)
Defaults log_input, log_output
# 记录环境变量(可选)
Defaults env_keep += "PATH"
    • log_input:记录输入(键盘输入)。
    • log_output:记录命令输出(需配合 sudoedit 或 script)。

    5.2 创建日志目录与权限设置

    mkdir -p /var/log/sudo-io  # 创建会话记录目录
chown root:root /var/log/sudo.log
chmod 600 /var/log/sudo.log
chown -R root:root /var/log/sudo-io

    6. Sudoreplay回放 sudo 记录

    6.1 列出可回放的 sudo 记录

    sudo sudoreplay -l
    [root@centos79-20251123 ~]# sudoreplay   -l
8月 13 22:36:09 2025 : yq : TTY=/dev/pts/7 ; CWD=/home/yq ; USER=root ; TSID=000001 ; COMMAND=/bin/systemctl status nginx
8月 13 22:36:34 2025 : yq : TTY=/dev/pts/7 ; CWD=/home/yq ; USER=root ; TSID=000002 ; COMMAND=/bin/systemctl restart nginx
8月 13 22:36:38 2025 : yq : TTY=/dev/pts/7 ; CWD=/home/yq ; USER=root ; TSID=000003 ; COMMAND=/bin/systemctl status nginx
8月 14 19:06:48 2025 : root : TTY=/dev/pts/3 ; CWD=/root ; USER=root ; TSID=000004 ; COMMAND=/bin/grep -E log_output|iolog_dir /etc/sudoers
8月 14 21:17:11 2025 : root : TTY=/dev/pts/5 ; CWD=/root ; USER=root ; TSID=000005 ; COMMAND=/bin/cp /etc/pam.d/sudo /etc/pam.d/sudo.bak
8月 14 21:17:18 2025 : root : TTY=/dev/pts/5 ; CWD=/root ; USER=root ; TSID=000006 ; COMMAND=/bin/cp /etc/sudoers /etc/sudoers.bak
8月 14 21:19:30 2025 : yq : TTY=/dev/pts/5 ; CWD=/home/yq ; USER=root ; TSID=000007 ; COMMAND=/bin/systemctl restart nginx

    每条记录包含时间、用户、终端、命令等信息,用于定位需要回放的操作。

    6.2 回放指定的 sudo 操作

    [root@centos79-20251123 ~]# sudoreplay   00/00/03

root@centos79-20251123 ~]# ll  /var/log/sudo-io/00/00/03
总用量 28
-rwxr-xr-x 1 root root  75 8月  13 22:36 log
-rwxr-xr-x 1 root root  20 8月  13 22:36 stderr
-rwxr-xr-x 1 root root  20 8月  13 22:36 stdin
-rwxr-xr-x 1 root root  20 8月  13 22:36 stdout
-rwxr-xr-x 1 root root  57 8月  13 22:36 timing
-rwxr-xr-x 1 root root  21 8月  13 22:36 ttyin
-rwxr-xr-x 1 root root 425 8月  13 22:36 ttyout

    ​7. 配置MFA令牌

    7.1 安装 Google Authenticator PAM 模块

    # Ubuntu/Debian
sudo apt-get install libpam-google-authenticator

# CentOS/RHEL
sudo yum install google-authenticator

    7.2 用户配置 MFA

    每个需要 sudo 权限的用户运行 google-authenticator 命令,生成密钥并绑定到身份验证应用(如 Google Authenticator、Microsoft Authenticator 等)。

    7.3 配置 PAM 以支持 sudo MFA

    编辑 /etc/pam.d/sudo 文件,添加 Google Authenticator 模块:

    7.3.1 仅对特定用户组启用 MFA(推荐)

    避免影响所有用户,可以只对 wheelsudo 组启用:

    # /etc/pam.d/sudo
auth [success=ignore default=1] pam_succeed_if.so user ingroup wheel
auth required pam_google_authenticator.so
auth include system-auth

    解释:

    • 如果用户在 wheel 组,跳过下一行(即不强制 MFA)。
    • 否则,执行下一行(要求 MFA)。
    • 实际上是“不在组内才要求 MFA”,逻辑需根据需求调整。

    7.3.2 配置组内用户必须 MFA

    auth required pam_google_authenticator.so secret=${HOME}/.google_authenticator
auth required pam_succeed_if.so user ingroup wheel quiet_success

    注意:若sudo 不触发 MFA,最可能的原因是 PAM 配置顺序错误,导致 pam_unix.so 先通过认证,跳过了后面的 MFA 模块。

    岚叔运维
    关注
    Tornado部署指南:Nginx+Supervisor生产环境配置
    AI天才研究院
    06-12 994
    指南深度解析Tornado在生产环境中的企业级部署方案,聚焦Nginx反向代理与Supervisor进程管理的协同配置。内容覆盖从基础概念到高级优化的全生命周期,包含理论原理、架构设计、实战配置、故障排查及未来演进方向。通过分层解析(入门→中级→专家)与可视化工具(Mermaid图表),帮助开发者构建高可用、易维护、高性能的Tornado生产环境。可靠性:应用进程崩溃自动恢复(Supervisor)、单点故障隔离(Nginx多实例负载均衡)。性能。
    Linux环境下Tomcat的安装与配置详细指南
    web14786210723的博客
    02-12 1048
    Apache Tomcat是一个广泛使用的开源Java Servlet容器和Web服务器,适用于运行Java Web应用程序。本指南详细介绍如何在Linux环境中安装和配置Tomcat,包括必要的前提条件、下载安装、配置环境变量、设置为系统服务以及基本的安全配置
    【转】/etc/sudoers配置文件详解
    weixin_33695082的博客
    01-08 761
    2019独角兽企业重金招聘Python工程师标准>>> ...
    配置sudo权限
    m0_72487755的博客
    07-06 1820
    sudo权限配置
    linux技术分享之sudo权限配置
    最新发布
    my1505242784的博客
    09-12 798
    super user do:临时提升权限执行某操作。优势:权限最小化、审计追踪(所有sudo命令记录在 或 )、避免共享root密码。工作原理:检查 文件中的规则,判断用户是否有权执行特定命令。永远使用 命令来编辑 文件!它会进行语法校验,防止配置错误导致所有用户都无法使用sudo的灾难性后果。它使用安全的临时文件进行编辑允许用户deploy以root身份执行systemctl命令查看用户的sudo权限:登录Shell (Login Shell) (通过tty、ssh、登录): -> (如果存在)
    Linux系统编程学习 NO.7 ——sudo配置、编译器的使用
    sinzz的博客
    06-14 1916
    本文简单介绍了sudo配置相关的问题,主要介绍了gcc/g++编译器的使用以及程序翻译的过程。
    linux-sudo配置
    古韵堂
    04-21 3354
    是 "superuser do" 的缩写,它是一个在 Unix 和 Linux 操作系统中允许普通用户以其他用户身份(通常为超级用户或 root 用户)执行命令的程序。对示例不明白的同学可以产看格式说明黄色背景标注的就是对应的说明:主机,用户,用户组等等权限管理配置。可以提高系统的安全性,因为它允许细粒度的权限控制,并且会在每次使用时要求用户输入密码。,系统管理员可以授予某些用户执行特定命令的权限,而无需切换到 root 用户。,管理员可以限制用户只能执行特定的命令或脚本,从而防止潜在的系统损坏或误操作。
    sudo的简单配置
    liuxqsmile
    12-21 4035
    sudo的简单配置sudo配置文件是/etc/sudoers,它有专门的编辑工具visudo,用su切换到root用户,然后执行这个命令。对 于VI,对我这样的初学者,只要记住几个快捷键就可以了:光标移动,j上一行,k下一行,h向左,l向右。i切换到编辑状态,然后再配合End、 Delete、和BackSpace键,完成这个位置的编辑,Esc退出编辑状态;移动光标到下一个位置,再切换到编辑状态,
    从0到1,Node.js安装与环境配置详细指南
    大雨的博客
    06-10 1321
    在默认情况下,Node.js 全局安装的模块和缓存文件会存储在系统盘的用户目录下,长时间积累可能会占用大量的系统盘空间。为了更好地管理这些文件,我们可以自定义全局安装和缓存路径。创建文件夹:进入 Node.js 的安装目录,在该目录下创建两个新文件夹,分别命名为node_global和node_cache。例如,如果你的 Node.js 安装在C:\Program Files\nodejs ,就在此目录下创建这两个文件夹。设置路径。
    03.生产环境-containerd安装配置指南
    Anwen的博客
    03-25 2661
    容器运行时(Container Runtime)是Kubernetes(k8s)最重要的组件之一,负责管理镜像和容器的生命周期。Kubelet通过Container Runtime Interface (CRI) 与容器运行时交互,以管理镜像和容器。
    sudo配置
    zhangyonzhi的专栏
    10-31 201
    sudolinux下常用的允许普通用户使用超级用户权限的工具。 它的主要配置文件是sudoers,linux下通常在/etc目录下,如果是solaris,缺省不装sudo的,编译安装后通常在安装目录的etc目录下,不过不管sudoers文件在哪儿,sudo都提供了一个编辑该文件的命令:visudo来对该文件进行修改。强烈推荐使用该命令修改sudoers,因为它会帮你校验文件配置是否正确,如果不正...
    Sudo命令的配置及使用
    m0_56054516的博客
    01-20 1080
    sudo 命令是 Linux 系统中一个非常重要的工具,它允许普通用户以超级用户(通常是 root)或其他用户的身份执行命令。从概念上来说,在普通用户在权限不够的时候,通过 sudo 命令 “摇人”,这个 “人” 就是拥有更高权限的用户(通常是 root)。来进行编辑,因为它具有检测功能。
    关于sudo配置
    诺诺的包包
    03-01 1668
    关于解决普通用户无法正常使用sudo指令
    Linux赋予普通用户特殊权限(SUDO
    Opossum的专栏
    10-20 7493
    Linux系统中,管理员往往不止一人,若每位管理员都用root身份进行管理工作,根本无法弄清楚谁该做什么。所以最好的方式是:管理员创建一些普通用户,分配一部分系统管理工作给他们。 我们不可以使用su让他们直接变成root,因为这些用户都必须知道root的密码,这种方法很不安全,而且也不符合我们的分工需求。一般的做法是利用权限的设置,依工作性质分类,让特殊身份的用户成为同一个工作组,并设置工作组权
    CentOS 系统sudo命令配置
    weixin_33736048的博客
    07-20 235
    linux系统中,由于root的权限过大,一般情况都不使用它。只有在一些特殊情况下才采用登录root执行管理任务,一般情况下临时使用root权限多采用su和sudo命令。 一、su和sudo命令对比: 在普通用户下输入su命令后,会提示输入root账户的密码,然后就进入特权模式(跟用root登录系统完全一样),输入exit或者su - user 退出: ...
    sudo的使用及配置
    风二中的博客
    04-13 3302
    sudo命令  如果普通用户加入了sudo列表(visudo),则执行命令时如果普通用户的$PASH没有加入此命令就不能执行,并且执行时需要加在命令sudo 并且绝对路径执行才会有效果 sudoers安全策略的默认密码提示超时为5分钟。即两次sudo操作间隔在5min内则不用重新输入密码,否则需重输。 sudo -l #列出当前可执行内容 [tom@ton ~]$sudo -l [sudo] password for tom: ... User tom
    配置sudo
    wgz7747147820的博客
    08-24 584
    今天在一个机器上配置sudo,发现无论如何都遇到下面的错误 [crsusr@stbm000026-vm1 ~]$ sudo ls -al /root Password: Sorry, user crsusr is not allowed to execute '/bin/ls -al /root' as root on stbm000026-vm1.dev3sub1phx.databasede3phx.oraclevcn.com. 经过各种尝试 尝试着在/etc/sudoers里面添加 crsusr AL
    Node.js安装与环境配置详细指南
    LTS 版本为长期支持版,经过充分测试,稳定性强,适用于生产环境和企业级项目,推荐大多数用户尤其是初学者选用;而 Current 版本包含最新的功能特性与性能优化,适合希望体验前沿技术的开发者,但由于可能存在未知 ...
    评论
    成就一亿技术人!
    拼手气红包6.0元
    还能输入1000个字符
     
    红包 添加红包
    表情包 插入表情
    表情包 代码片
     条评论被折叠 查看
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值