su切换账号就容易暴露口令
sudo是授权某个用户在特定的主机上执行某个操作(在实际中非常普遍)
运行命令为不止root还可以指定为某个其他用户
A 不能访问 B能访问 B也能授权A去访问,不一定是root
因为有suid特殊权限,才能让用户执行root身份的权限
每个人运维工程写的配置文件放在这里,这样就 互相不干扰
sudoers 是通用的,所以一般建议放在另外一个
有一个检票机制是5分钟
5分钟如果执行多次,就只要输入一次密码就可以,超过就需要继续输入密码
sudo也有日志文件,记录了用户干了哪些事情
检查语法
wang是不能挂载光盘的,怎么授权嗯
还没有实现授权也挂载不了
实现授权,编辑文件sudoers
vim是修改不了只读的文件,我们用visudo,有好处就是,带语法检查功能,缺点是不带颜色
定义变量编辑器调用vim ,vi是不带颜色,默认就调用vim带颜色
这样就带颜色了
永久保存
授权用户 wang 授权主机(只能在192。168。30.7) root 命令路径 挂载操作
这样就可以执行了,输入自己的口令,确认是你本人
错误的原因是因为杠
把wang账号加入root组
系统给root留的后门,并不是无用的
root成普通用户,wang成为管理员
授权自己(root )代表wang账号(管理员)修改回来权限
这个组用不到,就删除,避免出现误操作
也可以通过A有权限,B没权限,可以用A的权限赋值给B
马哥就没有权限
改配置文件太危险,容易人多混杂
只要是wang用户有的权限都能用
重定向语法有问题,只能用VIM普通命令
修改的配置文件用440权限比较合适
visudo 也可以编辑这个文件 -f
语法会报错,权限错误也可以报
第一次需要输入口令,第二次就不需要
5分钟之内就不用重复输入口令了
7上的路径
sudo -V 查看信息,和一些文件路径
6上的路径
记录了wang账号登录的时间
6上登录一次以制造登录情况
记录了授权的日志操作信息
可以查看sudo的授权行为
支持通配符
在生产中用户比较多,授权比较复杂的情况下,会需要用到别名
#uid 就是mage 替换成#uid
可以用alias定义别名,别名定义一些人
4 个别名对应
别名必须大写开头,后面的也必须是大写字母和数字
nopasswd 就等于当wheel组的人在执行的时候是不需要输入口令的,脚本执行
代表mage可以在不输入口令的情况下执行任何操作
定义一个磁盘管理员,可以分区
权限不太严格,建议为440
Defaults有一些特性
就是如果不写用户 ,默认就是tom 否则不写就代表root
!是不能执行这个命令
定义wang账户操作
成功
*但是有安全漏斗,后面就可以看到shadow,代表任何
就想看到message开头的文件
官方文档有这个例子但是没解决方案