sudo

最新推荐文章于 2024-04-21 21:17:58 发布

转载最新推荐文章于 2024-04-21 21:17:58 发布 · 57 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/sndapk/960951

文章标签：

#shell

本文深入解析了Linux系统中sudo命令的工作原理及其配置文件/etc/sudoers的语法细节。介绍了如何通过sudo命令灵活地授予用户特定的管理员权限，同时确保系统的安全性。

# User privilege specification

　　root ALL=(ALL) ALL

　　# Members of the admin group may gain root privileges

　　%admin ALL=(ALL) ALL

　　下面对以上配置做简要说明：

　　第一项配置的作用，是允许root用户使用sudo命令变成系统中任何其它类型的用户。第二个配置规定，管理组中的所有成员都能以root的身份执行所有命令。因此，在默认安装的Ubuntu系统中，要想作为root身份来执行命令的话，只要在sudo后面跟上欲执行的命令即可。

　　我们用一个实例来详细解释/etc/sudoers文件的配置语法，请看下面的例子：

　　jorge ALL=(root) /usr/bin/find, /bin/rm

　　上面的第一栏规定它的适用对象：用户或组，就本例来说，它是用户jorge。此外，因为系统中的组和用户可以重名，要想指定该规则的适用对象是组而非用户的话，组对象的名称一定要用百分号%开头。

　　第二栏指定该规则的适用主机。当我们在多个系统之间部署sudo环境时，这一栏格外有用，这里的ALL代表所有主机。但是，对于桌面系统或不想将sudo部署到多个系统的情况，这一栏就换成相应的主机名。

　　第三栏的值放在括号内，指出第一栏规定的用户能够以何种身份来执行命令。本例中该值设为root，这意味着用户jorge能够以root用户的身份来运行后面列出的命令。该值也可以设成通配符ALL，jorge便能作为系统中的任何用户来执行列出的命令了。

　　最后一栏（即/usr/bin/find,/bin/rm）是使用逗号分开的命令表，这些命令能被第一栏规定的用户以第三栏指出的身份来运行它们。本例中，该配置允许jorge作为超级用户运行/usr/bin/find和 /bin/rm这两个命令。需要指出的是，这里列出的命令一定要使用绝对路径。

　　进一步：

　　我们可以利用这些规则为系统创建具体的角色。例如，要让一个组负责帐户管理，你一方面不想让这些用户具备完全的root访问权限，另一方面还得让他们具有增加和删除用户的权利，那么我们可以在系统上创建一个名为accounts的组，然后把那些用户添加到这个组里。之后，再使用visudo为/etc/sudoers添加下列内容： %accounts ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel, /usr/sbin/usermod

　　现在好了，accounts组中的任何成员都能运行useradd、userdel和usermod命令了。如果过一段时间后，您发现该角色还需要其他工具，只要在该表的尾部将其添上就行了。这样真是方便极了！

　　需要注意的是，当我们为用户定义可以运行的命令时，必须使用完整的命令路径。这样做是完全出于安全的考虑，如果我们给出的命令只是简单的useradd而非/usr/sbin/useradd，那么用户有可能创建一个他自己的脚本，也叫做useradd，然后放在它的本地路径中，如此一来他就能够通过这个名为useradd的本地脚本，作为root来执行任何他想要的命令了。这是相当危险的！

　　sudo命令的另一个便捷的功能，是它能够指出哪些命令在执行时不需要输入密码。这很有用，尤其是在非交互式脚本中以超级用户的身份来运行某些命令的时候。例如，想要让用户作为超级用户不必输入密码就能执行kill命令，以便用户能立刻杀死一个失控的进程。为此，在命令行前边加上NOPASSWD:属性即可。例如，可以在/etc/sudoers文件中加上下面一行，从而让jorge获得这种权力： jorge ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall

　　这样一来，jorge就能运行以下命令，作为root用户来杀死失控的rm进程了。 jorge@ubuntu:~$ sudo killall rm

---------------------------------------

例：限制命令具体到参数

myuser	ALL=(root)  !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, \                     !/usr/bin/passwd root

让这个用户只能修改root之外的用户的密码。

-------------------------------------------------------

个人总结：

sudo相比su优点在于root的安全性，不用把root密码告诉所有需要root权限的用户;

实现了灵活性的控制，控制某个用户，在指定主机，可以变为指定用户，执行指定命令；

如果不想每次都输入sudo可以sudo -s切换到root的shell?（可以使用root权限了）；

/etc/sudoers为配置文件，可以把新的需要root权限的用户在这里面配置

sudo -l 列出当前用户的权限

sudo -K 删除系统记住的sudo认证密码

转载于:https://blog.51cto.com/sndapk/960951