su切换的基本用法:
Substitute User,切换用户
- 快速切换为指定的其他用户
- 普通用户执行时,需要验证目标用户的口令
- root执行时,无需验证口令
命令格式
- 用法一:su [-] 目标用户
- 用法二:su [-] -c “命令” 目标用户
su和su -的区别:
- su:只是切换成了目标用户,shell环境仍然为root的shell,通过pwd可以查看切换用户后的工作目录
- su - :用户身份和shell环境一起切换为目标用户
[root@client10 ~]# useradd jim
[root@client10 ~]# echo 123456 |passwd --stdin jim
更改用户 jim 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@client10 ~]# su jim
[jim@client10 root]$ pwd
/root
[jim@client10 root]$ mkdir /root/lxx
mkdir: 无法创建目录"/root/lxx": 权限不够
[jim@client10 root]$ su -c "mkdir /root/lxx" root
密码:
###############################################################3
[jim@client10 root]$ exit
exit
[root@client10 ~]# su - jim
上一次登录:一 6月 3 21:49:48 CST 2019pts/0 上
[jim@client10 ~]$ pwd
/home/jim
[jim@client10 ~]$ ls
[jim@client10 ~]$ mkdir /root/lxc
mkdir: 无法创建目录"/root/lxc": 权限不够
[jim@client10 ~]$ su -c "mkdir /root/lxc" root
密码:
[jim@client10 ~]$ exit
登出
[root@client10 ~]# ls
lxc lxx
通过安全日志/var/log/secure查看记录的su切换使用情况
sudo提权的基本用法
Super or another Do,超级执行
- 管理员预先为用户设置执行许可
- 被授权用户有权执行授权命令,验证自己的口令
命令格式
- 用法一:sudo 特权命令
- 用法二:sudo [-u 目标用户] 特权命令
查看当前用户的sudo授权:
sudo -l
sudo配置文件: /etc/sudoers
[root@client10 ~]# grep 'wheel' /etc/sudoers
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL //默认wheel组用户拥有所有权限,一般需注释掉该行
# %wheel ALL=(ALL) NOPASSWD: ALL
[root@client10 ~]# vim /etc/sudoers
[root@client10 ~]# useradd tom
[root@client10 ~]# echo 123456 |passwd --stdin jim
[root@client10 ~]# usermod -G wheel tom //将tom添加到wheel组,使其拥有完全权限
[root@client10 ~]# id tom
uid=1001(tom) gid=1001(tom) 组=1001(tom),10(wheel)
[root@room9pc01 ~]# ssh tom@192.168.4.10
[tom@client10 ~]$ sudo -l
用户 tom 可以在 client10 上运行以下命令:
(ALL) ALL
[tom@client10 ~]$ sudo yum -y install httpd
配置sudo授权格式:
- 普通用户 主机名列表=命令列表(使用命令的绝对路径)
- 普通用户 主机名列表=NOPASSWD:命令列表(使用命令的绝对路径) //免密执行sudo命令
- %用户组名 主机名列表=命令列表(使用命令的绝对路径)
- %用户组名 主机名列表=NOPASSWD:命令列表(使用命令的绝对路径) //免密执行sudo命令
[root@client10 ~]# useradd json
[root@client10 ~]# echo 123456 |passwd --stdin json
[root@client10 ~]# vim /etc/sudoers
root ALL=(ALL) ALL
json localhost,client10=/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf //配置json用户的sudo授权命令
[root@room9pc01 ~]# ssh json@192.168.4.10
[json@client10 ~]$ sudo -l
用户 json 可以在 client10 上运行以下命令:
(root) /usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf
[json@client10 ~]$ sudo systemctl start httpd //需要输入json用户密码
[json@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf
[json@client10 ~]$ sudo vim /etc/hosts
对不起,用户 json 无权以 root 的身份在 client10 上执行 /bin/vim /etc/hosts。
[root@client10 ~]# vim /etc/sudoers
root ALL=(ALL) ALL
json localhost,client10=NOPASSWD:/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf //配置json用户免密执行sudo授权命令
[json@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf //不需要输入json用户密码
########################################################################
[root@client10 ~]# for i in jim tom json
> do
> gpasswd -a $i devops &> /dev/null
> done //将用户jim、tom、json添加到devops组
[root@client10 ~]# cat /etc/group |grep devops
devops:x:1009:jim,tom,json
[root@client10 ~]# vim /etc/sudoers
%devops localhost,client10=NOPASSWD:/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf //配置devops组用户免密执行sudo授权命令
[root@room9pc01 ~]# ssh tom@192.168.4.10
[tom@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf //不需要输入tom用户密码
sudo别名设置
- 提高可重用性,易读性
- 简化配置、使记录更有条理
[root@client10 ~]# vim /etc/sudoers
User_Alias USERS=tom,jim,json //用户、主机和命令别名名称必须大写
Host_Alias MYHOST=localhost,client10
Cmnd_Alias MYCMD=/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf
USERS MYHOST=NOPASSWD:MYCMD
修改全局配置,启用日志:/var/log/sudo,记录sudo提权使用情况
[root@client10 ~]# vim /etc/sudoers
#添加以下内容
Defaults logfile="/var/log/sudo"