[root@yxb ~]# sudo -u user1 id
uid=1000(user1) gid=1000(user1) 组=1000(user1),10(wheel) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
通过useradd
添加的用户,并不具备sudo
权限。在ubuntu/centos
等系统下, 需要将用户加入admin
组或者wheel
组或者sudo
组。
[test@yxb ~]$ sudo vim /etc/passwd
[sudo] password for test:
test is not in the sudoers file. This incident will be reported.
以root
用户身份执行如下命令, 将用户加入wheel/admin/sudo
组:
usermod -a -G wheel <用户名>
sudoer文件
sudoers
文件主要有三部分组成:
-
sudoers的默认配置(default),主要设置sudo的一些缺省值
-
alias(别名),主要有Host_Alias|Runas_Alias|User_Alias|Cmnd_Alias。
-
安全策略(规则定义)。
安全策略
root ALL=(ALL) ALL
我们来说一下这一行的配置的意思
“不以%
号开头的表示"将要授权的用户”,比如例子中的root;以%
号开头的表示"将要授权的组", 比如例子中的%wheel
组 和 %sudo
组
root
表示该用户root
可以使用sudo
命令,第一个ALL
指的是网络中的主机(可以是主机名也可以是ip地址),它指明用户可以在此主机上执行后面命令;第二个括号里的ALL
是指目标用户,也就是以谁的身份去执行命令。最后一个ALL
是指命令路径。
user1 localhost=(root) /bin/kill,/bin/id
表示user1用户可以在本地以root的身份去执行kill命令,多条命令用逗号分隔
注意: 命令必须是完整的路径
NOPASSWD
后面带有冒号:。表示执行sudo
时可以不需要输入密码。
test ALL=(ALL) NOPASSWD: /bin/useradd
用户可以执行passwd
程序,但是不能修改root密码,在命令前面加上叹号表示不能执行该程序。
user01 localhost=(root) NOPASSWD:/usr/bin/passwd,!/usr/bin/passwd root
用户可以在本机上无密码执行/usr/local/bin/python,有密码执行kill命令
user01 localhost=(root) NOPASSWD:/bin/more PASSWD:/bin/less
用户别名允许root将多个用户整理成一组中,并按组来分配目标用户的权限。这部分是可选的,定义的时候是User_Alias group1=user1,user2
使用的时候是%group1
。我们也可以直接使用/etc/g