sudo:控制用户对系统命令的使用权限,root允许的操作。通过sudo可以提高普通用户的操作权限,不过这个权限是需要进行配置才可使用。
常用的命令展示
配置sudo的2种方式
1. visodu 编辑
1 |
|
1 |
|
1 |
|
ll /etc/sudoers 这个是一个权限很小的文件(440)
2. vi /etc/sudoers(98gg 可以快速跳转) 但是visudo功能更强大
1 2 3 4 5 |
|
取消sudo必须需要tty才能执行的限制
编辑 /etc/sudoers ,找到 Defaults requiretty, 然后注释掉这行:
注: /etc/sudoers 这个是一个权限很小的文件(440)
sudo基本的操作
1 2 3 4 5 6 7 8 9 10 |
|
sudo别名的应用
1.主机别名
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
|
sudo原理
普通用户运行sudo -> 检查/var/db/sudo/下是否有时间戳文件(执行成功后会创建,且免密5分钟),并检查是否已经过期
未过期 -> 检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
->有权限 ->执行命令并且返回结果 ->退出
->无权限 ->退出
过期 -> 输入当前用户自己的口令 ->检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
->有权限 ->执行命令并且返回结果 ->退出
->无权限 ->退出
sudo配置的注意事项
1.命令别名下的成员必须是文件或者是目录的绝对路径
2.别名是包含大写字母,数字,下划线,如果是字母就必须全部大写
3.一个别名下有多个成员,成员与成员之间必须使用逗号分隔,且成员必须有效的存在
4.别名成员受Host_Alias,User_Alias,Cmnd_Alias,Runas_Alias别名类型制约,定义什么类型的别名,就要有什么类型的成员匹配
5.别名规则是每行算一个规则,如果一个别名规则一行容不下是,可以通过“\”来续行
6.指定切换的用户要用()括起来,如果省略括号,默认是root
7.如果不需要输入密码可以输入NOPASSWD:ALL
8.禁止的命令可以通过!来进行限制,根据测试,先执行后面的命令,
所以禁止的命令必须放在允许执行的命令的后面
9.用户组前面必须用%号
10.所有的授权ALL字符都必须是大写
11.允许执行的命令都是有顺序的,命令的顺序是从后向前生效
所以禁止的命令尽量向后放
sudo管理的2个文件
/var/db/sudo/
/etc/sudoers
man sudo
man sudoers
sudo实例--企业生产环境用户权限集中管理方案实例
【更多参考】sudo实例--企业生产环境用户权限集中管理方案实例
visudo的参数
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
|