【Linux】一步一步学Linux——sudo命令(105)

最新推荐文章于 2024-03-26 09:41:37 发布
最新推荐文章于 2024-03-26 09:41:37 发布
阅读量2.1k 收藏 26
点赞数 6
分类专栏: Linux基础 文章标签: sudo sudo命令 linux sudo命令 linux sudo命令详解 sudo命令详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengjin20104042056/article/details/98369403
版权

00. 目录

文章目录

01. 命令概述

sudo - 以其他用户身份执行一条命令

sudo命令用来以其他身份来执行命令,预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。

sudo 是一种权限管理机制,管理员可以给一些普通用户授权去执行一些 root 执行的操作,而不需要知道 root 的密码。

sudo 允许一个已授权用户以超级用户或者其它用户的角色运行一个命令。当然,能做什么不能做什么都是通过安全策略来指定的。sudo 支持插件架构的安全策略,并能把输入输出写入日志。第三方可以开发并发布自己的安全策略和输入输出日志插件,并让它们无缝的和 sudo 一起工作。默认的安全策略记录在 /etc/sudoers 文件中。而安全策略可能需要用户通过密码来验证他们自己。也就是在用户执行 sudo 命令时要求用户输入自己账号的密码。如果验证失败,sudo 命令将会退出。

02. 命令格式

usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user]
            [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-u user] file ...

03. 常用选项

选项:
  -A, --askpass               使用助手程序进行密码提示
  -b, --background            在后台运行命令
  -C, --close-from=num        关闭所有 >= num 的文件描述符
  -E, --preserve-env          在执行命令时保留用户环境
  -e, --edit                  编辑文件而非执行命令
  -g, --group=group           以指定的用户组或 ID 执行命令
  -H, --set-home              将 HOME 变量设为目标用户的主目录。
  -h, --help                  显示帮助消息并退出
  -h, --host=host             在主机上运行命令(如果插件支持)
  -i, --login                 以目标用户身份运行一个登录
                              shell;可同时指定一条命令
  -K, --remove-timestamp      完全移除时间戳文件
  -k, --reset-timestamp       无效的时间戳文件
  -l, --list                 
                              列出用户权限或检查某个特定命令;对于长格式,使用两次
  -n, --non-interactive       非交互模式,不提示
  -P, --preserve-groups      
                              保留组向量,而非设置为目标的组向量
  -p, --prompt=prompt         使用指定的密码提示
  -r, --role=role             以指定的角色创建 SELinux 安全环境
  -S, --stdin                 从标准输入读取密码
  -s, --shell                 以目标用户运行
                              shell;可同时指定一条命令
  -t, --type=type             以指定的类型创建 SELinux 安全环境
  -U, --other-user=user       在列表模式中显示用户的权限
  -u, --user=user             以指定用户或 ID
                              运行命令(或编辑文件)
  -V, --version               显示版本信息并退出
  -v, --validate              更新用户的时间戳而不执行命令
  --                          停止处理命令行参数

04. 参考示例

4.1 查看此用户拥有的权限

[deng@itcast ~]$ sudo -l
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset,
    env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 deng 可以在 itcast 上运行以下命令:
    (ALL) ALL
[deng@itcast ~]$

4.2 结束密码有效期

[deng@itcast ~]$ sudo -k
[deng@itcast ~]$ sudo useradd test1
[sudo] deng 的密码:

有效期结束后,执行特殊命令,需重新验证密码

4.3 指定用户执行命令

[deng@itcast ~]$ sudo -u tom ls /home/tom
[deng@itcast ~]$

4.4 以root账户来建一个文件file,为空默认是root用户

[deng@itcast ~]$ sudo touch file
[deng@itcast ~]$ ls -l file
-rw-r--r-- 1 root root 0 8月   3 17:10 file
[deng@itcast ~]$

4.5 以root权限执行上一条命令

[deng@itcast ~]$ sudo !!
sudo ls
bak                 oracle_client_11gR2.tar.gz  share   test.cpp  图片  桌面
bj34                oradiag_deng                sz12    公共      文档
file                projects                    test    模板      下载
instantclient_11_2  scott_data.sql              test.c  视频      音乐
[deng@itcast ~]$

4.6 显示版本信息并退出

[deng@itcast ~]$ sudo -V 
Sudo 版本 1.8.19p2
Sudoers 策略插件版本 1.8.19p2
Sudoers 文件语法版本 45
Sudoers I/O plugin version 1.8.19p2
[deng@itcast ~]$

4.7 将tom用户设置为拥有所有权限

[root@itcast ~]# visudo

仿照现有root的例子就行,我们在下面加一行(最好用tab作为空白)

     91 ## Allow root to run any commands anywhere
     92 root    ALL=(ALL)   ALL
     93 tom     ALL=(ALL)   ALL

第一个ALL是指网络中的主机。第二个括号里的ALL是指目标用户,也就是以谁的身份去执行命令。最后一个ALL当然就是指命令名了。

保存退出后,切换到deng用户测试

[deng@itcast ~]$ ls /root
ls: 无法打开目录/root: 权限不够
[deng@itcast ~]$ sudo ls /root
[sudo] deng 的密码:
anaconda-ks.cfg       openssl-1.1.1-pre6-dev.zip  test.cpp  图片  桌面
bak                   openssl-master              公共      文档
initial-setup-ks.cfg  oracle_client_11gR2.tar.gz  模板      下载
instantclient_11_2    share                       视频      音乐
[deng@itcast ~]$

4.8 限制tom用户的权限

限制一下tom的权限。比如我们只想让他像root那样使用执行lastb,把那一行改为:

     91 ## Allow root to run any commands anywhere
     92 root    ALL=(ALL)   ALL
     93 tom     localhost=/usr/bin/lastb

测试

[deng@itcast ~]$ lastb
lastb: /var/log/btmp: Permission denied
[deng@itcast ~]$ sudo lastb
root     pts/2                         Sat Aug  3 19:15 - 19:15  (00:00)    
root     pts/2                         Sat Aug  3 15:52 - 15:52  (00:00)    
root     pts/1                         Fri Aug  2 21:00 - 21:00  (00:00)    
root     pts/1                         Thu Aug  1 21:27 - 21:27  (00:00)    

btmp begins Thu Aug  1 21:27:11 2019
[deng@itcast ~]$

4.9 其它相关配置

例如,我们想让tom用户在linux主机上以deng或itcast的身份执行kill命令,这样编写配置文件:

tom    linux=(deng,itcast)    /bin/kill

但这还有个问题,tom到底以deng还是itcast的身份执行?这时我们应该想到了sudo -u了,它正是用在这种时候。 tom可以使用sudo -u deng kill PID或者sudo -u itcast kill PID,但这样挺麻烦,其实我们可以不必每次加-u,把deng或itcast设为默认的目标用户即可。再在上面加一行:

Defaults:foobar    runas_default=itcast

Defaults后面如果有冒号,是对后面用户的默认,如果没有,则是对所有用户的默认。就像配置文件中自带的一行:

Defaults    env_reset

另一个问题是,很多时候,我们本来就登录了,每次使用sudo还要输入密码就显得烦琐了。我们可不可以不再输入密码呢?当然可以,我们这样修改配置文件:

tom localhost=NOPASSWD:     /bin/cat, /bin/ls

4.10 日志与安全

sudo为安全考虑得很周到,不仅可以记录日志,还能在有必要时向系统管理员报告。但是,sudo的日志功能不是自动的,必须由管理员开启。

touch /var/log/sudo
vi /etc/syslog.conf

在syslog.conf最后面加一行(必须用tab分割开)并保存:

local2.debug                    /var/log/sudo

重启日志守候进程

ps aux grep syslogd

把得到的syslogd进程的PID(输出的第二列是PID)填入下面

kill –HUP PID

sudo就可以写日志了:

[deng@localhost ~]$ sudo ls /rootanaconda-ks.cfg
Desktop install.log
install.log.syslog
$cat /var/log/sudoJul 28 22:52:54 localhost sudo:   deng :
TTY=pts/1 ; pwd=/home/deng ; USER=root ; command=/bin/ls /root

sudo 有自己的方式来保护安全。以root的身份执行sudo-V,查看一下sudo的设置。因为考虑到安全问题,一部分环境变量并没有传递给sudo后面的命令,或者被检查后再传递的,比如:PATH,HOME,SHELL等。当然,你也可以通过sudoers来配置这些环境变量。

05. 附录

参考:【Linux】一步一步学Linux系列教程汇总

沧海一笑-dj
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux习——命令.pptx
06-07
7. **`tree`**:这是一个非常有用的命令,可以以树状结构显示目录内容,需要通过`sudo apt-get install tree`先进行安装。 8. **文件内容查看**:`cat`、`more`、`less`、`head` 和 `tail`用于查看文件内容。`cat`...
Linux系统管理指令——Sudo简介
03-04
Sudo是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登陆和管理时间,同样也提高了安全性。本文介绍了Sudo的基本知识。
【笔记(2)】嵌入式操作系统:Linux的使用(命令
MQ1136的博客
09-15 344
Linux的使用(命令)-30个命令 1.Linux和windows定位:(开发人员、普通用户)(命令和鼠标效率) 2.Linux命令用户管理、文件操作、进程管理、网络管理、设备管理、系统管理(1000多个)—120个 3.向日葵 远程 /SSH(xshell) 4.su sudo adduser 用户管理:su、sudo;(adduser、passwd、usermod、us...
sudo arm-linux-gnueabihf-gcc:Command not found 原因及解决办法
十年饮冰,难凉热血,保持热爱,奔赴星海!
09-27 5811
使用 arm-linux-gnueabihf-gcc-7 编译系统时,不会提示找不到 arm-linux-gnueabihf-gcc,但是只要使用了sudo去编译(因为有些操作需要sudo),这种情况就会报找不到 arm-linux-gnueabihf-gcc 的问题
arm交叉编译sudo-1.8.6p7
qq_38693296的博客
12-05 358
1、交叉编译 # tar -xvf sudo-1.8.6p7.tar.gz # cd sudo-1.8.6p7/ # mkdir build # ./configure --prefix=/home//sudo-1.8.6p7/build/ CC=aarch64-linux-gnu-gcc AR=aarch64-linux-gnu-ar --host=aarch64-linux-gnu ...
Linux—给普通用户sudo权限
嵌入式萌新_博客
10-29 598
今天在做u-boot编译的移动文件目录时出现了权限不够的提示 经常使用root用户权限容易出现重大失误,于是决定给这个用户sudo权限 先进入root模式 [huangjy@huangjy u-boot-2010.09]$ su [root@huangjy u-boot-2010.09]# visudo     进入sudo文件 找到下面这一行 添加自己的用户名,这里有个
7 Linux文件及目录权限管理
行走的皮卡丘
09-13 838
7 Linux文件及目录权限管理
Linux基础命令习——用户身份与文件权限(八)
01-09
Linux操作系统中,理解用户身份和文件权限是至关重要的,因为它们构成了系统安全的基础。本文将探讨Linux用户分类、用户身份相关的文件以及`/etc/passwd`文件的结构。 首先,Linux用户分为三大类: 1. **超级...
Linux的60个命令(五)——系统安全命令.pdf
09-07
Linux 系统安全命令 本文将详细介绍 Linux 系统安全命令,包括密码管理、文件系统管理、用户权限管理等方面的命令。 一、密码管理命令 1. passwd 命令:用于修改账户的登录密码。格式为:passwd [选项] <账户名称...
Linux曝出Sudo提权漏洞 任意用户亦可运行root命令
01-10
然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 —— 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令。 (题图 via Hacker ...
linux基本功系列之sudo命令实战一
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
01-30 5812
linux基本功系列之sudo命令实战一
Linux 基础命令 -- sudo
02-16 2309
命令介绍 命令sudo 系统管理者的身份执行指令 用法: sudo -h | -K | -k | -V usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user] usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [com...
Linuxsudo自动输入密码(一百零四)
Android系统攻城狮
06-23 9755
Linuxsudo自动输入密码
linux让指定文件具有sudo权限,Linux习笔记——使用指定的用户权限执行程序——sudo...
weixin_39620578的博客
04-30 169
sudo可以用来以其他用户身份执行命令sudo命令可以针对单个命令授予临时权限sudo仅在需要时授予用户权限,减少了用户因为错误执行命令损坏系统的可能性。1:sudo的帮助信息如下:[emailprotected]:~/桌面$ sudo --helpsudo - 以其他用户身份执行一条命令usage: sudo -h | -K | -k | -Vusage: sudo -v [-AknS] ...
Linux的10个冷门却有用的命令(二)
最新发布
runqu的博客
03-26 638
Linux操作系统中,除了基本的常用命令,还有许多冷门但实用的命令
LINUX习—特殊权限
LINUX学习笔记—sed
08-23 183
passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者; chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限,则SUID显示s;否则显示为S SGID:运行某程序时,相应进程的属组是程序文件自身的属主,而不是启动者所属的基本组; chmod g+s FILE ...
玩 Ubuntu ,把 sudo 给删了,重新安装sudo权限,什么都没权限..最终解决,分享如下!
Faker_Second的博客
06-14 7274
 # 查看我的 Ubuntu 版本(安装到VMvare)wc@ubuntu:~/Desktop$ sudo The program 'sudo' can be found in the following packages: * sudo * sudo-ldap Try: sudo apt install &lt;selected package&gt;# 不小心把 /usr/bin/sudo...
如何在bash脚本中执行sudo时自动输入用户密码
热门推荐
宁静致远
03-28 1万+
如何在bash脚本中执行sudo时自动输入用户密码
linux 从--stdin输入密码
weixin_45168162的博客
12-01 8424
一、linux 从–stdin输入密码 for name in xp wrg lct do useradd $name echo red | passwd --stdin $name done 解释:passwd --stdin name是更改name是更改name是更改name变量的密码,$name变量指代上面for循环的三个用户xp ,wrg, lct 加上–stdin是接受echo后面的字符串(red)做为密码,密码是red 二、Ubuntu不能使用passwd的–stdin的解决办法 所以可以ec
Linux命令全集:便捷参考指南
"Linux命令大全——一个包含了全面的Linux命令的简体中文版指南,由Linhan整理并制作,旨在方便Linux者查阅和习。该手册禁止任何未经许可的商业使用,作者保留所有权利。手册内容参考网络文档,以HTMLHelp格式...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值