账号安全基本措施2

sudo命令

sudo(superuser do),允许系统管理员让普通用户执行一些或者全部的root命令的一个工具。

其配置在/etc/sudoers权。它允许系统管理员集中的管理用户的使用权限和使用的主机。属性必须为0440。

语法检查:

检查语法:

修改文件时,通常使用visudo命令打开sudoers,保存后会自动检查语法。

visudo命令打开配置文件:

第一列是用户,%wheel,%代表组,代表wheel组

第二列是主机=(用户),例如ALL=(root):所有的主机,以root身份运行,ALL代表所用

第三列是开放的命令,比如:/usr/bin/mount /dev/sr0 /mnt/只能执行这一条命令。ALL代表所有

例如:配置zhangsan用户只能执行挂载命令,/usr/bin/mount /dev/sr0 /mnt/命令。添加一条

测试能否使用规定的命令,只能严格执行规定的命令。

在110行我们看到在这个组中,NOPASSWD:ALL,是要加入到wheel组中的,使用sudo执行任何命令不需要密码。

别名:

当用户过多时,我们可以使用别名的方式,统一设置。

这里面有注释,可以直接复制,只需要修改用户名和别名即可。

User_Alias ADMINS = jsmith, mikem

Host_Alias     FILESERVERS = fs1, fs2

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

用户名:固定格式:User_Alias别名=用户名1,用户名2
主机名=(用户)固定格式:Host_Alias别名=主机名1,主机名2
命令固定格式:Cmnd_Alias别名=命令(/bin/rpm, /usr/bin/up2date, /usr/bin/yum)

这也只是定义,没有使用。在下面使用别名:

ADMINS              FILESERVERS=              NOPASSWD:MYCMNDS

我们添加别名:执行该命令不需要密码。别名规则:大小写字母数字下划线,数字不能开头

定义完别名还要使用别名,126行。命令中执行的命令不需要密码,NOPASSWD

!是不能执行reboot,poweroff,init,rm

测试别名的使用,只有在/usr/bin/下的命令才可以无密码使用。

子目录:

在/etc/sudoers.d/下写配置文件。

我们把上面的别名使用注释掉:

先看是否能使用cat命令查看/var/log/vmware*。可以看到不能看

 在/etc/sudoers.d/下写一个配置文件:vim /etc/sudoers.d/test

允许zhangsan用户查看/var/log/vmware*文件。

  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值