sudo权限管理

已于 2024-08-06 19:06:26 修改
阅读量3.6k 收藏 17
点赞数
分类专栏: Linux权限 文章标签: visudo sudo sudoers runuser su
于 2023-01-28 18:35:38 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/128780889
版权

su命令和sudo及runuser命令

sudo、su和su -的区别

https://linux.cn/article-8404-1.html


su

参数解释
-m,-p执行su时不会改变环境变量
-s指定要执行的shell(bash csh tcsh 等)
-c变更账号为USER的使用者并在执行完command后变为原使用者
-f不需要读启动档,仅用于 csh 或 tcsh
  • su
    su命令在切换用户时,仅切换root用户身份,但shell环境仍为普通用户;
    root切换普通用户不需要密码;
    普通用户切换用户是需要输入密码的
# 切换用户,但保留当前用户的变量信息
su 用户名

su -

  • su -
    su –命令在切换用户时,用户身份和shell环境都会切换为root用户;
    su - 表示完全变更,不保留原用户的任何原始属性;
    是完全切换到新用户,包括环境变量也是变更的.
# 完全切换用户
su - 用户名

sudo

sudo命令可以允许普通用户执行管理员账户才能执行的命令

su命令有一个致命的问题:一定要输入密码,这时候用sudo命令;
如果其他同事用su命令切换你的账户,你必须得把密码告诉他,他才能切换成功;
如果即想其他用户完成这个工作,又不想要他完全变更到你的账号身份下,这时候用sudo命令可以解决这个问题.

sudo可以精确的控制其他用户可以提权某个命令进行放行;
sudo是个服务,需要编辑配置文件/etc/sudoers;
或者使用visduo命令进行配置sudo服务.

参数解释
-h显示版本号以及指令的使用说明
-k使使用者在下次执行sudo时询问密码
-l显示使用者的权限
-L显示sudos设置

sudo -s

参考: https://www.v2ex.com/t/885106#reply3
sudo -s 不会执行 profile ;会执行 rc.


sudo -i

-i 参数(即 sudo -i ),在 sudo 的 man page 里指明了,会加载 .profile,.bash_profile.login ,root变量将被shell读取 , 同时呢,会跳到 /root 目录。


sudo -u以指定用户运行命令

sudo -u 用户名 要执行的命令

在这里插入图片描述

sudo -l验证 SUDOERS 组成员

# 验证 SUDOERS 组成员
sudo -l -U 用户名

在这里插入图片描述


runuser命令

用法:
 runuser [选项] -u <USER> COMMAND
 runuser [选项] [-] [USER [参数]...]

以有效 <USER> 用户 id 和组 id 运行 COMMAND 命令。如果未给出 -u,
将退而使用与 su(1) 兼容的语法并执行 shell。
-l、-c、-f、-s 与 -u 相互排斥。

选项:
 -u, --user <用户>               用户名
 -m, -p, --preserve-environment  不重置环境变量
 -g, --group <>             指定主组
 -G, --supp-group <>        指定一个辅助组

 -, -l, --login                  使 shell 成为登录 shell
 -c, --command <命令>            使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                 而不创建新会话
 -f, --fast                      向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>             若 /etc/shells 允许,则运行 shell

 -h, --help     显示此帮助并退出
 -V, --version  输出版本信息并退出

以指定用户运行某个命令

# root用户下指定admin执行命令
# runuser -l 指定用户 -c '要执行的命令'
## -l 指定用户
## -c 要执行的命令
runuser -l admin -c 'id'

# 示例:
sudo runuser -l USER1 --group=GROUP1 -c "cd WD && ENVFILE_CONTENTS ENV COMMAND"

在这里插入图片描述


配置visudo

https://blog.51cto.com/chenfage/1830424
在这里插入图片描述
在大约99行添加配置信息
第一段 表示允许提权的用户
第二段 ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段 允许放行的命令(绝对路径),多个命令可以用逗号(,)隔开

例如:

# 允许lisi用户通过sudo 执行poweroff命令
## 没有NOPASSWD:表示要输入密码
lisi  ALL=(ALL)  /usr/sbin/poweroff

# 允许bai用户执行iptables命令
## NOPASSWD:/usr/sbin/iptables表示执行iptables不需要输入密码
bai ALL=(ALL) NOPASSWD:/usr/sbin/iptables
代授权的用户或组来源机器= (授权角色)是否免密码:可以执行的命令
lisiALL= (ALL)/usr/sbin/poweroff
baiALL= (ALL)NOPASSWD:/usr/sbin/iptables

仅允许字符终端登陆(tty)–授权localhost

非ssh可执行的命令

# 用户名 本地登陆用localhost=命令绝对路径
## 没有NOPASSWD:表示要输入密码
## user1用户允许localhost登录,能通过sudo 运行yum命令,需要输入密码
user1 localhost=/usr/bin/yum
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
zhangsanlocalhost=/usr/bin/yum

允许图形和tty登陆–授权all

ssh和localhost登录都可以执行

# 用户名  要执行的命令		免密码
## user1用户允许本地和ssh登录,能通过sudo允许yum命令不需要输入密码
user1 ALL=/usr/bin/yum NOPASSWD:ALL
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
user1ALL=/usr/bin/yumNOPASSWD:ALL

用户组提权-示例配置

用户组提权配置只需要在用户组前加上%

# %组名	ALL=(主机来源)	命令绝对路径
%gourp 	ALL=(ALL)		/usr/bin/yum
%组名来源机器=(授权角色)可以执行的命令免密码
%sudoALL=(ALL)/usr/bin/yumNOPASSWD:ALL

sudoers.d目录下创建授权文件–推荐

sudoers.d目录下文件权限一定要0440

# sudoers.d目录下文件设为0440
chmod 0440 /etc/sudoers.d/*

示例:

# 创建hadoop用户
## -d 指定用户登入时的起始目录
## -m 自动创建用户的登入目录
sudo useradd -d /home/hadoop -m hadoop

# 配置hadoop用户的权限
echo "hadoop ALL = (root) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/hadoop

# 配置hadoop的sudo配置文件权限
sudo chmod 0440 /etc/sudoers.d/hadoop

在这里插入图片描述

代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
hadoopALL = (root)NOPASSWD: ALL

五段式配置

# 给devops创建授权文件,设置文件权限0400
cd /etc/sudoers.d && touch devops && chmod 0440 devops && vim devops

# 将配置文件添加到devops文件中,当执行sudo updatedb命令时免密码
devops ALL=(ALL) NOPASSWD:/usr/bin/updatedb
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
devopsALL=(ALL)/usr/bin/updatedbNOPASSWD: /usr/bin/updatedb

第一段: 表示允许提权的用户,%sudo代表sudo组
第二段: ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段:表示sudo可以切换到什么用户。ALL表示所有用户
第四段:表示sudo可以切换到哪些组下的用户。ALL表示所有组
第五段:表示sudo之后能够执行的命令(绝对路径)。NOPASSWD:ALL表示执行任意命令都不需要密码

代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
devopsALL=(ALL)NOPASSWD: ALL

三段式配置

第一段: 表示允许提权的用户,%sudo代表sudo组
第二段: ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段: 允许放行的命令(绝对路径),多个命令可以用逗号(,)隔开

# 允许执行所有sudo命令不需要输入密码
devuser ALL=(ALL) NOPASSWD:ALL
代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
devopsALL= (ALL)NOPASSWD: ALL

检查sudoers配置是否有误

https://www.linuxcool.com/visudo

# 检查文件格式是否有误
visudo -c /etc/sudoers.d/devops

在这里插入图片描述

# 严格检查sudoers文件
visudo -s

如何在sudo运行的命令中防止使用参数

参考: https://linux.cn/article-15106-1.html

visudoroot用户身份编辑/etc/sudoers文件.
命令行后添加 ""防止使用参数

# 命令行后添加 ""防止使用参数
user1   ALL=(root)      /usr/bin/ls ""

# 用户设为ALL命令行后添加 ""防止使用参数
ALL   ALL=(root)      /usr/bin/ls ""
代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
user1ALL = (root)/usr/bin/ls “”

在这里插入图片描述


结果验证

在这里插入图片描述

识途老码
关注
专栏目录
权限管理-sudo权限
10-18
介绍了权限管理中的 sudo权限,并附有截图演示。
Sudo权限管理
探索世界,改变世界
05-22 2075
sudo能够限制指定用户在指定主机上运行某些命令。 sudo可以提供日志,忠实地记录每个用户使用sudo做了些什么,并且能将日志传到中心主机或者日志服务器。 sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoerssudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后,用户获得了一张默认存活期为5分钟的“入场券”(默认值可以在编译的时候改变)。超时以后,用户必须重新输入密码。
/etc/sudoers.d 是否需要删除前面的 # 注释
最新发布
09-30 333
includedir /etc/sudoers.d 是否需要删除前面的 # 注释在文件中,这一行的前面确实有一个符号,这表示该行是被注释掉的。
权限管理 ——sudo 权限
Jia ming 的日常学习笔记
02-19 232
CentOS笔记(二十六)
sudo权限
小楼一夜听春雨
03-14 4632
1.概念    sudo权限就是root把本来只能超级用户执行的命令赋予普通用户执行,sudo的操作对象是系统命令。2.visudo    我们使用visudo来设置sudo,实际上修改的就是/etc/sudoers这个文件。3.如何设置sudo权限    使用visudo打开配置文件,在后面有下面一段话## Next comes the main part: which users can ru...
深入理解Linux sudo权限管理及其应用
了解并灵活运用这些选项可以帮助用户更加高效地管理sudo权限。 Linux的sudo是一个强大且灵活的工具,它的核心是权限管理和安全策略,它不仅简化了超级用户任务的分配,而且确保了系统的安全和控制。熟悉并掌握sudo...
xsudo工具:简化sudo权限管理下的X应用执行
资源摘要信息:"xsudo 工具是一个开源软件,旨在简化 Linux 系统中 X 应用程序的 sudo 权限管理。它使得用户能够在使用 sudo 命令时运行 X 应用程序,同时提供了图形用户界面(GUI)来管理 /etc/sudoers 文件中的用户...
Debian如何限制sudo权限
04-01
### Debian如何限制sudo权限 #### 一、概念 在Linux系统中,`sudo`命令允许系统管理员为普通用户分配特定的管理员权限,而无需知晓root用户的密码。这为那些需要执行部分管理员任务(例如安装软件包或修改系统配置...
CentOS 7.4禁止root用户登录并添加sudo权限管理
angelo_gs的博客
05-14 1943
系统环境:CentOS 7.4 服务器IP:192.168.1.39 目的:不能用root用户直接登录,使用普通用户管理服务器,然后用sudo提权进行操作。 1、创建管理用户,设置密码 [root@localhost ~]# useradd admin [root@localhost ~]# echo "www.yangxingzhen.com" |passwd --stdin admin 2、禁止root登录 #编辑/etc/ssh/sshd_config文件 [root@localh
sudo权限的设置
标配的小号
08-02 1011
什么是sudo,为什么要sudo呢?就我个人愚见普通用户sudo之后拥有root用户的所有权限,其优点在于,虽然该用户拥有root权限,但他却不需要知道root用户密码,需要输入的是他本身的密码。 那既然sudo用户也具有潜在的毁灭性,比如说一时头脑短路,普通用户sudo rm -rf /* 不就完了。不过sudo的权限范围可以被root用户定义 那么如何修改bp用户为sudo用户呢
利用sudo获取管理员权限
Helmer的博客
06-27 1250
在Ubuntu服务器安装完成之后,用户将获得管理员的权限,将能随意编辑系统中的任何文件,这样可能就会出现意外的情况,取而代之的是创建一个普通用户使用sudo来进行系统的管理. 1.在服务器创建新用户test 2.添加test到sudo组中 test用户重新登录后,sudo就可以直接使用sudo组中所有用户的访问规则储存在 /etc/sudoers文件中,这个文件包含了一系列用户和组的访问规则,具体体现在: 这三行体现了用户和组的访问规则。 在使用sudo的过程中,每一次都要输入用户的密码才能够执行命令,为了
linux 为普通用户配置sudo权限
风始于青萍末的博客
10-06 6084
sudo命令提供了一种机制,它可以在不用分享 root 用户的密码的前提下,为信任的用户提供系统的管理权限。他们可以执行大部分的管理操作,但又不像 root一样有全部的权限。sudo是一个程序,普通用户可以使用它以超级用户或其他用户的身份执行命令,是由安全策略指定的。sudo 用户的访问权限是由/etc/sudoers文件控制的。
配置sudo权限
m0_72487755的博客
07-06 1704
sudo权限配置
【Linux】sudo用户权限管理
weixin_34356555的博客
07-23 116
权力下放 一、权力分配- sudo Sudo是Unix/Linux平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权力”,让 他们执行一些只有超级用户或其他特许用户才能完成的任务(主要体现为命令),比如:运行一些像mount, halt,su之类的命令,或者编辑一些系统配置文件,像/etc/mtab, /etc/samba/smb.conf等。这样以来,就 不仅减少了ro...
Linux中配置sudo用户访问权限
热门推荐
阿干tkl的博客
06-29 1万+
Linux添加sudo用户权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值