想象一下,你是一个电脑的超级英雄,拥有特殊的权限去执行一些普通用户做不到的操作。在这个世界里,有两种方式来使用这种超能力:一种叫做su,另一种叫做sudo。让我们探讨一下sudo这个超级英雄的工具箱是怎么工作的。
相对于 su 需要了解新切换的使用者密码 (常常是需要 root 的密码), sudo 的执行则仅需要自己 的密码即可! 甚至可以设置不需要密码。
sudo 的执行流程
1. 当使用者执行 sudo 时,系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限;
2. 若使用者具有可执行 sudo 的权限后,便让使用者“输入使用者自己的密码”来确认;
3. 若密码输入成功,便开始进行 sudo 后续接的指令(但 root 执行 sudo 时,不需要输入密码);
4. 若欲切换的身份与执行者身份相同,那也不需要输入密码。
/etc/sudoers 文件内容
除了 root 之外的其他帐号,若想要使用 sudo 执行属于 root 的权限指 令,则 root 需要先使用 visudo 去修改 /etc/sudoers ,其实 visudo 只是利用 vi 将 /etc/sudoers 文件调用出来进行修改而已。让该帐号能够使用全部或部分的 root 指令功能。为什么 要使用 visudo 呢?这是因为 /etc/sudoers 是有设置语法的,如果设置错误那会造成无法使用 sudo 指令的不 良后果。因此才会使用 visudo 去修改, 并在结束离开修改画面时,系统会去检验 /etc/sudoers 的语法。
1. “使用者帐号”:系统的哪个帐号可以使用 sudo 这个指令的意思;
2. “登陆者的来源主机名称”:当这个帐号由哪部主机连线到本 Linux 主机,意思是这个帐号可能是由哪一部网络主机连线过来的, 这个设置值可以指定用户端计算机(信任的来源的意思)。默认值root 可来自任何一部网络主机
3. “(可切换的身份)”:这个帐号可以切换成什么身份来下达后续的指令,默认 root 可以切换成任何人;
4. “可下达的指令”:可用该身份下达什么指令?这个指令请务必使用绝对路径撰写。 默认 root 可以切换任何身份且进行任何指令之意。
那ALL 是特殊的关键字,代表任何身份、主机或指令的意思
两次执行 sudo 的间隔在五分钟内,那么再次执行 sudo 时就不需要再次输入密码了
配置举例说明1
%wheel ALL=(root) NOPASSWD: /usr/bin/passwd
在最左边加上 % 代表后面接的是一个“群组
NOPASSWD是免除密码输入
/usr/bin/passwd是可以执行 passwd 指令 加上惊叹号 ! 代表不可执行
配置举例说明2
User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2
Cmnd_Alias ADMPWCOM = !/usr/bin/passwd
ADMPW ALL=(root) ADMPWCOM
别名创建 ADMPW代表后面接的那些实际帐号。 而该帐号能够进行的指令就如同 ADMPWCOM 后面所指定的
用法举例
常见参数
-b :将后续的指令放到背景中让系统自行执行,而不与目前的 shell 产生影响
-u :后面可以接欲切换的使用者,若无此项则代表切换身份为 root
以 sshd 的身份在 /tmp 下面创建一个名为 mysshd 的文件
sudo -u sshd touch /tmp/mysshd
sudo -i
- sudo -i启动一个新的登录shell,模仿用户登录过程,将环境变化为目标用户(默认为root)的环境,包括切换到其家目录、加载其登录shell的配置文件等。这是一种安全的方式来获得一个几乎等同于完全登录为root的环境。
sudo -s
- sudo -s启动一个新的shell会话,但保持当前用户的一些环境设置(如工作目录),同时以root用户的权限运行。它不模仿登录过程,因此不会加载目标用户的登录配置文件,但会尝试加载相应的shell配置文件。
sudo su
- sudo su组合实际上是先用sudo命令以root权限执行su命令,通常会切换到root用户的环境中去。这种方法会启动一个新的shell会话,但它依赖于su的行为,通常意味着加载root用户的环境,但具体受到su命令行为的影响。通常,sudo su不会加载root用户的登录脚本(如.profile或.bash_profile),除非使用su -命令。