1、su命令中如果想要仅执行一次命令,可在后面加上-c
2、sh -c 的重要性
作用:在Linux使用 echo 并配合命令重定向是实现向文件中写入信息的快捷方式。
比如要向 test.asc 文件中随便写入点内容,可以:
$ echo "信息" > test.asc
# 或者
$ echo "信息" >> test.asc
下面,如果将 test.asc 权限设置为只有 root 用户才有权限进行写操作:
$ sudo chown root.root test.asc
然后,我们使用 sudo 并配合 echo 命令再次向修改权限之后的 test.asc 文件中写入信息:
$ sudo echo "又一行信息" >> test.asc
-bash: test.asc: Permission denied
这时,可以看到 bash 拒绝这么做,说是权限不够。这是因为重定向符号 “>” 和 ">>" 也是 bash 的命令。我们使用 sudo 只是让 echo 命令具有了 root 权限,但是没有让 “>” 和 ">>" 命令也具有 root 权限,所以 bash 会认为这两个命令都没有像 test.asc 文件写入信息的权限。
解决这一问题的途径有两种。第一种是利用 "sh -c" 命令,它可以让 bash 将一个字串作为完整的命令来执行,这样就可以将 sudo 的影响范围扩展到整条命令。具体用法如下:
$ sudo sh -c 'echo "又一行信息" >> test.asc'
另一种方法是利用管道和 tee 命令,该命令可以从标准输入中读入信息并将其写入标准输出或文件中,具体用法如下:
$ echo "第三条信息" | sudo tee -a test.asc
注意,tee 命令的 "-a" 选项的作用等同于 ">>" 命令,如果去除该选项,那么 tee 命令的作用就等同于 ">" 命令。
3、sh -c 执行一连串命令是通过分号来延续命令进行
4、sudo用户提权的几个知识要点
①单一用户可以在visudo上使用root所有命令与sudoers文件语法
#输入命令
visudo
#找到这一行
root ALL=(ALL) ALL
#添加
v1 ALL=(ALL) ALL
组件意义:
【用户账号】【登录者来源主机名】【(可以切换的身份)】【可执行的命令(务必是绝对路径)】
②利用wheel用户组以及免密码功能处理visudo
[root@study ~]# visudo
#请使用 root 先设定
....(前面省略)....
%wheel ALL=(ALL) ALL
#大约在 106 行左右,请将这行的 # 拿掉!
#在最左边加上 % ,代表后面接的是一个『用户组』之意!改完请储存后离开
[root@study ~]# usermod -a -G wheel v1
#将 pro1 加入 wheel 的支持
免密登录:
[root@study ~]# visudo
%wheel ALL=(ALL) NOPASSWD: ALL
#大约在 109 行左右,请将 # 拿掉!
#在最左边加上 % ,代表后面接的是一个『用户组』之意!改完请储存后离开
③限制命令操作
可以修改【可执行的命令】指定用户仅能够使用部分系统任务,比如帮root修改其它用户的密码
visudo
v1 ALL=(root) /usr/bin/passwd
但是,root给v1提权后,输入passwd,结果更改的是root密码,非常不安全,所以需要限制用户的命令参数。
root@study ~]# visudo
#注意是 root 身份
myuser1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
④通过命令别名创建visudo
可以是【命名别名、账户别名、主机别名】
visudo
User_Alias ADMPW = pro1,pro2,mysuer1,myuser2
#创立一个账号
Cmnd_Alias ADMPWCOM = !=usr/bin/passwd /usr/bin/passwd [A-Za-z]*,!/usr/bin /passwd root
#使用命令别名
ADMPW ALL=(root) ADMPWCPM
方便弹性修改。
⑤两次sudo操作的间隔超过5分钟,那就得要重新输入一次自己的密码。
⑥通过【ADMINS ALL=(root) /bin/su -】可以将ADMINS用户组的人立刻变成root身份,无需一直使用sudo,这也是多人公用一台主机使用的技巧。
5、当用户尝试利用nologin账户登录时,可以利用/etc/nologin.txt告知用户不要利用该账号登陆系统
参考博客:
https://www.cnblogs.com/ggzhangxiaochao/p/10773694.html
https://www.cnblogs.com/ImJerryChan/p/6667819.html