linux进阶-sudo命令的理解

最新推荐文章于 2023-10-02 08:45:00 发布
最新推荐文章于 2023-10-02 08:45:00 发布
阅读量568 收藏 1
点赞数 2
分类专栏: linux进阶 文章标签: sudo visudo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nanjing_bokebi/article/details/103105910
版权

学习sudo权限的设置

使用visudo 命令配置默认配置/etc/sudoers文件

文章目录


在这里插入图片描述

概述

centos7系统;在CentOS7上是 sudo.x86_64,使用yum install sudo命令即可安装。
sudo 的配置文件为/etc/sudoers、/etc/sudoers.d、/etc/sudoers 为总配置文件,也可以
在/etc/sudoers.d/文件夹下单独创建配置文件,实现配置分别管理。
可通过/usr/sbin/visudo 对配置文件进行编辑。
sudo程序的可执行文件为/usr/bin/sudo 有特殊权限位。

基本授权操作

sun  172.20.121.11=(root)    /bin/cat    /etc/shadow
被授权用户 登录主机地址=(授权成的用户) 授权的具体命令
被授权用户 user: 命令的发起用户
登录主机 host: 被授权用户所在的主机地址,可以写成ALL
授权成的用户 (runas): 想用哪个用户身份去运行命令
授权命令 command: 想被授权的命令 ,可以写成ALL 即所有命

  -a type       使用指定的 BSD 认证类型
  -b            在后台运行命令
  -C fd         关闭所有 >= fd 的文件描述符
  -E            在执行命令时保留用户环境
  -e            编辑文件而非执行命令
  -g group      以指定的用户组执行命令
  -H            将 HOME 变量设为目标用户的主目录。
  -h            显示帮助消息并退出
  -i [command]  以目标用户身份运行一个登录 shell
  -K            完全移除时间戳文件
  -k            无效的时间戳文件
  -l[l] command 列出用户能执行的命令
  -n            非交互模式,将不提示用户
  -P            保留组向量,而非设置为目标的组向量
  -p prompt     使用指定的密码提示
  -S            从标准输入读取密码
  -s [command]  以目标用户身份运行 shell
  -U user       在列表时,列出指定用户的权限
  -u user       以指定用户身份运行命令(或编辑文件)
  -V            显示版本信息并退出
  -v            更新用户的时间戳而不执行命令
  --            停止处理命令行参数

1、授权sun⽤户完成 /usr/bin/cat /etc/shadow

编辑/etc/sudoers ⽂件

root    ALL=(ALL)       ALL
sun     192.168.26.6=(root)     /bin/cat /etc/shadow
----------------------------------------------------
使用sun用户直接cat /etc/shadow 提示权限不够;
使用sudo cat /etc/shadow 提示输入sun用户密码,让后执行授权操
----------------------------------------------------
cat /etc/shadow 不能访问
sudo cat /etc/shadow 输入密码后可访问

2、授权某个⽤户组的⽤户具有特定权限

visudo 编辑 配置⽂件/etc/sudoers 配置如下

%wheel  ALL=(ALL)   ALL
%tom    ALL=(ALL)  ALL

tom组的⽤户具有所有⽤户的所有命令的权限

su -l tom
sudo cat /etc/shadow
输入密码即可

在/etc/sudoers.d ⽬录下创建授权配置⽂件 tom,并授权成root权限,可执⾏所有命令

cd /etc/sudoers.d/
vim tom
tom     ALL=(root)     ALL
-------------------------
su -l tom
cat /etc/shadow   #拒绝
sudo /etc/shadow   #输入密码即可

对于/etc/sudoers.d 下的授权管理配置⽂件也可以⽤visudo编辑,使⽤-f选项即可

visudo -f /etc/sudoers.d/tom

visudo 可以加上-c选项进⾏内容格式检查

visudo -c -f /etc/sudoers.d/tom

2、授权时间限制,默认5分钟内不⽤再次输⼊密码

使⽤sudo -V 可以查看⼀下sudo的详细信息

sudo -V
---------------------------------------
...
Authentication timestamp timeout: 5.0 minutes
Password prompt timeout: 5.0 minutes
Number of tries to enter a password: 3
Umask to use or 0777 to use user's: 022
Path to mail program: /usr/sbin/sendmail
Flags for mail program: -t
Address to send mail to: root
Subject line for mail messages: *** SECURITY information for %h ***
Incorrect password message: Sorry, try again.
Path to authentication timestamp dir: /var/db/sudo   #时间戳文件路径
...
---------------------------------------------------

查看⼀下对应⽤户的时间戳⽂件,⽂件内容不可直接查看

[root@centos6 ~]# cd /var/db/sudo   #时间戳文件路径
[root@centos6 sudo]# ll
total 4
drwx------ 2 root sun 4096 Nov 10 18:07 sun
[root@centos6 sudo]# cat sun
cat: sun: Is a directory
[root@centos6 sudo]# cd sun/
[root@centos6 sun]# ll
total 4
-rw------- 1 root sun 48 Nov 10 18:11 1
[root@centos6 sun]# cat 1

 
ᆝQ®

3、sudoers配置⽂件中的其他配置⽅式

user host=(runas) command
其中user除了使⽤⽤户名外,还可以使⽤#uid代替user还可以使⽤⽤户组名
为了和⽤户名作区分,需要使⽤%groupname,同样使⽤%#gid代替也可以。

使⽤wang⽤户的uid进⾏授权操作,使⽤tom组id进⾏授权操作

#编辑授权配置⽂件

[root@centos6 sun]# cat /etc/passwd | grep sun
sun:x:500:500:sunxiaobo:/home/sun:/bin/bash
------------------------------------------------
[root@centos6 sun]# visudo -f /etc/sudoers.d/test
[root@centos6 sun]# cat /etc/sudoers.d/test 
%#1000	ALL=(ALL)	ALL

4、使⽤sudo时取消输⼊密码过程,在command前加上NOPASSWD

[root@centos6 sun]# visudo -f /etc/sudoers.d/test 
[root@centos6 sun]# cat /etc/sudoers.d/test 
sun	ALL=(ALL)	NOPASSWD:AL
[root@centos6 sun]# su -l sun
[sun@centos6 ~]$ cat /etc/shadow | grep root
cat: /etc/shadow: Permission denied   #权限拒绝
[sun@centos6 ~]$ sudo cat /etc/shadow | grep root
root:$6$.L/ggVlq$D2qqIHGALvmeBjauATdeiF/Cc1A3Au.q.vtK...
[sun@centos6 ~]$ exit

5、配置⽂件中定义别名

配置⽂件中的4个部分都可以使⽤别名替换,别名只能使⽤⼤写字⺟和数字构成,以字⺟开头
每种⽂件都有特定的定义⽅法

cat /etc/sudoers.d/test
User_Alias SYSUSER=sun
HostAlias SYSHOST=192.168.26.6
Runas_Alias SYSRUNAS=root
Cmnd_Alias SYSCMD=/bin/cat /etc/shadow
SYSUSER SYSHOST=(SYSRUNAS) SYSCMD
su -l sun
cat /etc/shadow   #权限拒绝
sudo cat /etc/shadow | grep root   #可以查看

授权时禁⽌直⾏特定的命令,需要再命令前加上!

visudo -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
sun ALL=(root) /bin/cat /etc/sudoers.d/test
su -l sun
cat /etc/shadow   #权限拒绝
cat /etc/gshadow   #权限拒绝
sudo cat /etc/shadow | grep sun   
sudo cat /etc/gshadow | grep sun
exit

6、默认⽤户,使⽤sudo是可以使⽤-u 选项制定runas⽤户,不加-u是使⽤默认⽤户

设置tom为默认⽤户

cat /etc/sudoers.d/test
Defaults:sun runas_default=tom
sun ALL=(tom,root) ALL
su -l sun
cat /etc/shadow | grep root   #权限拒绝
sudo cat /etc/shadow | grep root   #权限拒绝
sudo -u root cat /etc/shadow | grep root
exit

将tom换成root

visudo -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
Defaults:sun runas_default=root
sun ALL=(tom,root) ALL
su -l sun
cat /etc/shadow | grep root   #权限拒绝
sudo -u tom cat /etc/shadow | grep root   #权限拒绝
sudo cat /etc/shadow | grep root
exit

7、在配置⽂件中使⽤通配符,使⽤时需要注意,有可能有漏洞

在命令后⾯加上*号,会出现如下漏洞,未授权查看/etc/shadow,但是却可以查看shadow⽂件

cat /etc/sudoers.d/test
sun ALL=(root) /bin/head -1 /var/log/message*
su -l sun
head -1 /var/log/messages
权限拒绝;
sudo head -1 /var/log/messages
sudo head -1 /var/log/messages /etc/shadow

8、使⽤sudo -l 或者 -ll 查看当前⽤户具有的sudo可执⾏情况

visudo -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
sun ALL=(root) /bin/head -1 /var/log/messages
su -l sun
sudo head -1 /var/log/messages
sudo -l
sudo -ll
exit

9、不执⾏任何命令,将⽤户的免密码时间更新⼀下:sodu -v

cd /var/run/sudo/ts/
date
su -l sun
sudo -v
exit
date

10、sudo -k

sudo -k 可以重置密码时间为1970年01⽉01⽇
由于当前时间肯定⼤于这个时间,因此下次执⾏sudo时,需要输⼊密码
sudo -K 可以删除时间戳⽂件,因此下次执⾏sudo时需要输⼊密码

ll
su -l sun
sudo -K
exit
su -l sun
sudo head -1 /var/log/messages
exit
ll

11、sudo -i -u user有切换⽤户功能,root有此功能, 授权sun⽤户切换到root⽤户

sudo -i -u sun
sudo -i -u root
输入密码;
exit
visodu -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
tom ALL=(root) ALL
su -l sun
sudo -i -u root
输入密码;
exit
exit

12、给⽤户授权编辑sudoers⽂件的权限 使⽤sudoedit 即可

visodu -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
sun  ALL=(root) /bin/cat /etc/shadow
su -l sun 
sudoedit /etc/sudoers
权限拒绝;
exit
visudo -f /etc/sudoers.d/test
cat /etc/sudoers.d/test
tom ALL=(root) /bin/cat /etc/shadow, sudoedit
su -l sun 
sudoedit /etc/sudoers
exit
Nanjing_bokebi
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sudo 命令、配置
赶路人儿
04-27 2万+
一、su 命令 su命令是用来切换用户。如果超级权限用户root向普通用户切换不需要密码;而普通用户切换到其它任何用户都需要密码验证(A用户切换到B时,需要输入B的密码)。 1、su 的用法: su [OPTION选项参数] [用户],参数说明: - 或者 -l:登录并改变到所切换的用户环境; -c: 切换到对应的用户环境,执行一个命令,然后退出; 注意: su 在不加任何参数,默认为...
Linux查看所有用户命令 sudo cat /etc/shadow 添加用户命令adduser <用户名>
GniLAY1022的博客
01-26 2110
sudo cat /etc/shadow 第一个是root用户,最后一个是创建的普通用户,其他的是运行系统服务所产生的用户
/etc/shadow(影子文件)内容详解
lj19990824的博客
09-23 1万+
一:简介 用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。 早期的 UNIX 密码放在 /etc/passwd 文件中,由于该文件允许所有用户读取,易导致用户密码泄露,因此从 /etc/passwd 文件中分离出来,并单独放到了此文件中。/etc/shadow 文件只有 root 用户拥有读权限,保证了用户密码的安全性。 先看一下/etc/shadow里面存放的内容:sudo cat /etc/shadow 文件中每行代表一个用户,使用 “:” 分隔,每行的用户信息有 9 个字段,格式如下
linux基础 sudo命令
K_Actor的博客
09-29 890
sudo命令 linux最基础的命令之一,sudo命令是作为linux初学者的我接触到的第一个命令sudo命令可以帮助用户以超级用户权限来执行命令,大大提高了系统安全性。 语法: sudo(选项)(参数) 选项如下: -b:在后台执行指令; -h:显示帮助; -H:将HOME环境变量设为新身份的HOME环境变量; -k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码;。 -l:列...
sudo命令
snowolf_538的专栏
08-21 7563
名字 sudo, sudoedit - 作为另外一个用户来执行命令 概要 sudo -h | -K | -k | -L | -V sudo -v [-AknS] [-g group name|#gid] [-p prompt] [-u userna
unbuntu基础-进阶命令合集
05-15
本合集主要关注Ubuntu的基础与进阶命令,帮助用户深入理解和掌握系统的使用。以下将详细介绍Ubuntu的起源进化、目录结构、Vim编辑器、Git版本控制工具以及桌面共享、tmux多会话管理器和网络目录挂载(mount)的知识...
linux-150个命令汇总(完毕).zip
04-25
本文将深入探讨“Linux-150个命令汇总”这一资源中的核心知识点,帮助读者理解和掌握Linux的基础操作。 首先,我们来了解Linux命令行的基本概念。Linux是一个开源的操作系统,它的用户界面主要是基于文本的终端,...
Linux命令壁纸带中文.rar
03-18
为了更好地理解和记忆Linux命令,本资源提供了一套“Linux命令壁纸带中文”的学习资料。这些壁纸将常见的Linux命令与精美的图像结合,每张壁纸上都清晰地标注了对应的中文注释,旨在帮助用户在日常使用中加深对命令...
Linux常用命令快查助手E
03-19
Linux常用命令快查助手E”是一款专为Linux初学者和进阶者设计的软件,它旨在帮助用户快速查询和学习Linux命令。通过模糊查询功能,用户即使不记得命令的全拼,也能轻松找到所需命令。同时,该工具支持中文查询,这...
linux常用命令大全
最新发布
05-21
本指南将详细介绍一些基础和进阶Linux命令,帮助用户更好地理解和操作Linux环境。 1. **ls**:列出目录内容。`ls -l` 会以详细模式显示,`ls -a` 包含隐藏文件。 2. **cd**:切换目录。例如,`cd /home/user` ...
sodu使用方法
11-07
简单介绍Linuxsudo程序的安装过程和sudo命令的使用方法
Linux命令sudo
weixin_34309543的博客
11-12 84
######################################################## 本文全部内容摘自互联网,由本人整理收藏. ######################################################## sudolinux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的ro...
Linux管理员必须知道的sudo命令
Java我人生的技术博客
06-29 1万+
Sudo”是Unix/Linux平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他 特许用户才能完成的任务,比如:运行一些像mount,halt,su之类的命令,或者编辑一些系统配置文件,像/etc/mtab,/etc /samba/smb.conf等。这样以来,就不仅减少了root用户的登陆次数和管理时间,也提高了系统安全性。   
linuxsudo的使用
霍尔的移动城堡
03-26 2441
vim /etc/sudoers 在行 root ALL= (ALL) ALL 行后添加 XXX ALL= (ALL) ALL XXX即为需要赋予sudo权限的用户名 在## Allow root torun any commands anywhere 这一行下面添加这行命令 用户 ALL=(ALL) NOPASSWD:ALL 然后切换到这个用户下就...
linux shadow 格式,掌握Linux系统中的/etc/shadow文件格式和输入示例
weixin_39568889的博客
05-13 798
Linux操作系统上可以使用几种不同的身份验证方案,最常用和标准的方案是对/etc/passwd和/etc/shadow文件执行身份验证,/etc/shadow是一个文本文件,其中包含有关系统用户密码的信息,它由用户root和group shadow拥有,并具有640个权限。/etc/shadow格式/etc/shadow文件每行包含一个条目,每个条目代表一个用户帐户,您可以使用文本编辑器或诸如...
linux shadow文件*,Linux /etc/shadow文件详解
weixin_39574928的博客
04-29 1945
/etc/shadow是一个文本文件,其中包含有关系统用户密码的信息。它拥有由root用户和组的阴影,并有640个权限。本篇文章详细解释了/etc/shadow文件每个条例的意义。在Linux系统上可以使用几种不同的身份验证方案。最常用和标准的方案是对/etc/passwd和/etc/shadow文件执行身份验证。/etc/shadow是一个文本文件,其中包含有关系统用户密码的信息。它拥有由roo...
Linuxsudo滥用提权
good good study
03-22 2590
sudolinux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。换句话说通过此命令可以让非root的用户运行只有root才有权限执行的命令
linux 系统中 /etc/passwd 和 /etc/shadow文件详解
热门推荐
fly小灰灰的专栏
01-19 4万+
linux操作系统中, /etc/passwd文件中的每个用户都有一个对应的记录行,记录着这个用户的一下基本属性。该文件对所有用户可读。  而/etc/shadow文件正如他的名字一样,他是passwd文件的一个影子,/etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。但是/etc/shadow文件只有系统管理员
Linux学习[21]账号与群组1---linux中/etc/passwd与/etc/shadow字段说明
Edwinwzy的博客
10-02 251
修改树莓派某个用户的权限到管理员权限的时候,涉及到了对文件的修改,其中的字段具体含义当时也是模棱两可的,最近看了看相关书籍之后,这里做一个说明。同时因为相关的内容是账号相关,所以也补充一些linux中的账号相关的内容。涉及到的树莓派相关博客这篇博客主要是对树莓派相关配置中的一些问题包含的原理进行记录与阐述。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值