如果系统的非管理员用户账户能够使用sudo来运行su命令,则可以从该账户运行sudo su - 来获取root用户的交互式shell。
配置sudo
sudo的主配置文件为/etc/sudoers
例如,/etc/sudoers文件的一行可为组wheel的成员启用sudo访问权限
%wheel ALL =(ALL) ALL
%指定这是一个组,即组wheel。ALL=(ALL)指定在可能包含此文件的任何主机上,wheel可以运行任何命令。最后的ALL指定wheel可以像系统上的任何用户一样运行这些命令。
默认情况下,/etc/sudoers还包含/etc/sudoers.d目录中所有文件的内容,作为配置文件的一部分。这样管理员只需要将相应的文件放入该目录中,即可为用户添加sudo访问权限。
使用/etc/sudoers.d.目录下的补充文件比较简单方便,只需要将文件复制到目录中或从目录中删除文件,即可启用或禁用sudo访问权限。
如要为组group01启用完整的sudo访问权限,可创建含有以下内容的/etc/sudoers.d/group01:
%group01 ALL=(ALL) ALL
此外,也可以设置sudo,以允许用户在不输入密码的前提下以其他用户身份运行命令:
ansible ALL=(ALL) NOPASSWD:ALL