在Linux服务器上如何配置用户的sudo权限,教你配置如何让用户只能读写文件、上传文件、下载文件,但是不能删除文件

最新推荐文章于 2022-05-09 20:51:13 发布
最新推荐文章于 2022-05-09 20:51:13 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: # 服务器部署相关教程 文章标签: rm sudo NOPASSWD wheel ALL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/random_w/article/details/108403865
版权

最近公司的中间件服务器因为同事的误操作,导致系统硬盘分区表丢失,系统直接挂掉了,好在最后恢复了,恢复后,老大有一个需求,想对中间件服务器做一下权限限制,之前大家都是以 admin 用户登陆的,它可以使用 root 用户的所有权限,但是现在我们想要让 admin 用户只能上传、下载文件,但是不能删除文件、重启系统,那么改怎么做呢?

思路:

刚看到这个需求,第一时间想到的是文件权限控制,但是仔细一想这样并不能满足需求,应为用户有了上传下载权限,必然就有删除文件的权限,于是我想到可以配置 sudo ,禁止 admin 用户执行 rm 命令就可以了,有了思路就开始测试一下。

1. sudo 权限配置

首先我们看一下如何给普通用户配置 sudo 权限,在Linux 操作系统的 /etc 目录有一个 sudoers 文件,在这个文件中我们可以配置让某些用户可以拥有 sudo 权限,也可以配置该用户可以以 那个用户、用户组的身份来执行命令,我们来看一下怎么配置:

(1)首先我们要给 /etc/sudoers 文件加写权限,默认是400权限。

[root@random etc]# chmod u+w /etc/sudoers

(2)配置 sudo 权限

在 sudoers 文件中你可以这样配置(youuser表示你要配置的用户名):

youuser            ALL=(ALL)                ALL
%youuser           ALL=(ALL)                ALL
youuser            ALL=(ALL)                NOPASSWD: ALL
%youuser           ALL=(ALL)                NOPASSWD: ALL

第一行:允许用户youuser执行sudo命令(需要输入密码).

第二行:允许用户组youuser里面的用户执行sudo命令(需要输入密码).

第三行:允许用户youuser执行sudo命令,并且在执行的时候不输入密码.

第四行:允许用户组youuser里面的用户执行sudo命令,并且在执行的时候不输入密码.

我们可以看到配置项格式为:

授权用户/组 主机  =[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,...
字段1      字段2  =[(字段3)] [字段4] 字段5

各字段含义如下:

  • 字段 1

    不以%号开头的表示"将要授权的用户" 如:root
以%号开头的表示"将要授权的组" 如:%wheel

  • 字段 2

    ALL表示所有; 如果该字段不为ALL,表示授权用户只能在某些机器上登录本服务器来执行sudo命令
如:random mycomputer=/usr/sbin/reboot,/usr/sbin/shutdown
表示: 普通用户random在主机(或主机组)mycomputer上, 可以通过sudo执行reboot和shutdown两个命令

  • 字段 3

    如果省略, 相当于(root:root),表示可以通过sudo提权到root; 如果为(ALL)或者(ALL:ALL), 表示能够提权到(任意用户:任意用户组)。
注意:如果没省略,必须使用( )双括号包含起来

  • 字段 4

    可能取值是NOPASSWD:。请注意NOPASSWD后面带有冒号:。表示执行sudo时可以不需要输入密码
eg:lucy ALL=(ALL) NOPASSWD: /bin/useradd
表示: 普通用户lucy可以在任何主机上, 通过sudo执行/bin/useradd命令, 并且不需要输入密码

  • 字段 5

    逗号分开一系列命令或者ALL表示允许所有操作
注意:命令必须使用绝对路径
命令的绝对路径可通过which指令查看到
我们也可以通过在命令前面加 "!" 的方式进行用户执行该命令。

重点在第五个字段的最后一句话,我们可以禁止用户执行 rm 命令,因此配置如下(random是我的测试用户):

random  ALL=(ALL)       ALL,!/usr/bin/rm

保存文件后,将他的权限恢复400:

[root@random etc]# chmod u-w /etc/sudoers
2. 修改 rm 命令权限

将 rm 命令的权限改为 700:

[root@random etc]# chmod 700 /usr/bin/rm

可能大家会疑惑,为什么还要该 rm 命令的权限?

我们看一下 rm 命令默认的权限:

[root@random ~]# ll /usr/bin/rm
-rwxrwxrwx. 1 root root 62864 Nov  6  2016 /usr/bin/rm

我们可以看到所有用户都有这个命令的执行权限,因此用户根本不需要 sudo 就可以使用 rm 命令删 “根” 了,我们配置的 sudo 权限根本派不上用场,因此我们将 rm 命令的权限改为 700,这样用户要执行 rm 命令就必须加 sudo,但是 rm 命令被我们禁止执行了,所以服务器上面的所有文件他都不能删除了。

3. 测试一下
# 切换到 random 用户
[root@random etc]# su - random
Last login: Fri Sep  4 13:26:06 CST 2020 on pts/0

# 创建 file1 文件
[random@random ~]$ touch file1

# 删除文件,我们可以看到没有权限执行 rm 命令
[random@random ~]$ rm file1
-bash: /bin/rm: Permission denied

# 加 sudo 执行 rm 命令,我们可以看到不允许执行
[random@random ~]$ sudo rm file1
[sudo] password for random:
Sorry, user random is not allowed to execute '/bin/rm file1' as root on random.
random_w
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--17--任意文件下载
武天旭的博客
09-12 5696
1、漏洞描述 目录遍历(任意文件下载)漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过目录遍历攻击可以获取系统文件服务器配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有...
Linux用户配置sudo权限(visudo)的方法
01-20
sudo的工作过程如下: 1,当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo权限 2,确认用户具有可执行sudo权限后,让用户输入用户自己的密码确认 3,若密码输入成功,则开始执行sudo后续的命令 4,root执行sudo时不需要输入密码(eudoers文件中有配置root ALL=(ALL) ALL这样一条规则) 5,若欲切换的身份与执行者的身份相同,也不需要输入密码 visudo使用vi打开/etc/sudoers文件,但是在保存退出时,visudo会检查内部语法,避免用户输入错误信息 visudo需要root权限 [hadoop@l
服务器系统 权限设置,2000系统服务器guest和system都设置了administrator权限,没法删除...
weixin_29189987的博客
08-10 395
方法如下:C:\regedit打开HKEY_LOCAL_MACHINE\SAM\SAM,我们会看到里面已经没有信息了,事实上是有信息的主要是我们的权限不够,一般这时候我们是Administrator权限,而事实上此时对于系统的内置的SYSTEM是可以访问的,那么如何去打开SAM下的账号信息呢?我们先关闭regedit,然后执行:C:\regedt32找到HKEY_LOCAL_MACHINE窗口,选...
Linux 搭建FTP 服务 ,只允许上传,不允许删除,不允许下载
疯流人物
03-06 6706
最近接到 导师的一个命令,在数据 服务器 建立三个账户,用来上传 作业之类。 但是有一个问题就是不允许 删除其中的文件,不允许下载其中的文件,只允许上传文件。 很棘手,刚开始以为是 修改 linux读写权限就行了,后来发现不是这个样子的。 首先安装 sudo apt-get install vsftpd 安装 参考 https://jingyan.baidu.com/articl...
Linux ftp服务器设置用户禁止删除(修改)其他用户文件,只允许上传和下载(所有文件),而超级用户拥有所有权限,的解决办法
A3010367369的博客
03-14 6833
以超级用户root和普通用户public为例 需要了解以下关键点: 默认状态下: 1:删除(修改)权限不同于写入权限 2:删除和修改文件权限只有其拥有者(上传者)和超级用户有 3:一个文件夹的拥有者拥有这个文件夹里面所有子文件所有的权限,无论该目录下子文件其拥有者是谁 大致方法如下: 1:创建public虚拟用户,禁止其ssh登录 在配置界面禁止匿名登录,给所有人读写权限 (如有不懂,请另搜索,此处不再赘述) 2:创建fFTP根目录myftp文件夹,使其拥有者为root,设置权限为75
linux文件可写,Linux系统下实现文件可写但不可删除
weixin_36256447的博客
04-28 626
同时运用了POSIX ACL共享目录 To_manager 只有manager这个用户对此目录拥有完全权限。 其它用户对此目录只有:可向其内复制并新建文件权限。但是不能删除文件不能copy出文件不能文件。步骤:1、更改smb.conf 如下[To_manager]comment=To_managerpath=/To_managerwritable=yescreate mask =1600di...
chattr命令
09-20 283
chattr命令用于改变文件属性. 这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式: a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S...
Linux设置文件夹可读写但是不能删除权限命令
zhangyunpengchang的专栏
03-22 9452
Linux设置文件夹可读写但是不能删除权限命令 此权限时使用命令chattr的a属性来设置的,具体命令为:  sudo chattr +a file(filename)  取消此权限命令:  sudo chattr -a file(filename) 若递归的设置文件夹的此种权限,使用-R属性:  sudo chattr +a -R file(filename)  递归取消文
如何在Linux下设置目录或文件读写,但不可以删除权限
飘羽的博客
11-10 3111
例如:现在/home目录下有 :目录 data 和 文件 test.txt (1)设置/home/test.txt可读写但是不可以删除命令(文件设置): sudo chattr +a /home/test.txt (2)取消此权限命令(文件设置): sudo chattr -a /home/test.txt (3)递归的设置/home/data文件夹的可读写,但是不可以删除权限命令(目录设置): ...
详解Linux下的sudo及其配置文件/etc/sudoers的详细配置
09-15
主要介绍了详解Linux下的sudo及其配置文件/etc/sudoers的详细配置的相关资料,需要的朋友可以参考下
如何在Linux环境为用户添加sudo权限
09-14
主要介绍了如何在Linux环境为用户添加sudo权限,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
关于linux服务器hosts文件配置详解
01-09
linux服务器hosts文件配置 hosts文件Linux系统中一个负责IP地址与域名快速解析的文件,以ASCII格式保存在“/etc”目录下,文件名为“hosts”。 hosts文件包含了IP地址和主机名之间的映射,还包括主机名的别名。在...
linux管理sudo管理员权限
qq_17576885的博客
12-29 1537
说明 限制用户使用sudo权限,防止用户对系统做出破坏性更改或恶意提权操作。 检查方法 1)在终端中输入命令: [test@localhost ~]$ sudo visudo 2)查找未被“#”注释掉的部分,是否存在类似于: root ALL=(ALL) ALL 字段,有即为定义的sudo用户;如存在类似于 %wheel ALL=(ALL) ALL 字段,即为定义wheel组为sudo用户组。 修改建议 1)使用visudo命令检查可执行sudu命令的用户用户组、主机、命令 2)设置的格式为: 用户或用.
控制用户(组)使用sudo
木尤的博客
07-10 474
控制用户(组)使用sudo Linux中普通用户sudo执行命令时报”xxx is not in the sudoers file.This incident will be reported”错误,解决方法就是在/etc/sudoers文件里给该用户添加权限。如下: 1.切换到root用户下 直接在命令行输入:su,然后输入密码(即你的登录密码,且密码默认不可见)。 2.添加权限 /etc/sudoers文件默认只读,对root来说也是,因此需先添加sudoers文件的写权限,命令是: chmod
linux访问php服务器文件权限设置,Linux 服务器如何设置文件文件夹的读写权限...
weixin_39968995的博客
03-12 346
修改文件读写属性的方法例如:把index.htm 文件修改为可写可读可执行:chmod 777 index.htm要修改目录下所有文件属性可写可读可执行:chmod 777 *.*该命令中可以使用 * 作为通配符。比如:修改所有htm文件的属性:chmod 777 *.htm修改文件夹属性的方法把目录 /images/small 修改为可写可读可执行:chmod 777 /images/smal...
Linux SUID、SGID、chattr特殊权限
Vic的博客
06-05 913
1 特殊权限位基本说明Linux系统基本权限位为9位权限,但还有额外3位权限位,共12位权限suid s(有x) S 4 用户对应的权限位(用户对应的3位上)sgid s(有x) S 2 用户组对应的权限位(用户组对应的3位上)sticky t(有x) T 1 其他用户对应的权限位2 SUID(setuid)[root@oldboy ~]# ls -l `which passwd` -rwsr-...
文件权限【持续整理】
sinat_36789271的博客
05-09 3005
Linux系统上对文件权限有着严格的控制,用于如果想对某个文件执行某种操作,必须具有对应的权限方可执行成功。这也是Linux有别于Windows的机制,也是基于这个权限机制,Linux可以有效防止病毒自我运行,因为运行的条件是必须要有运行的权限,而这个权限Linux用户所赋予的。 ​ Linux文件权限有以下设定: 1、Linux文件权限类型一般包括读,写,执行。对应字母为 r、w、x。 2、Linux权限的属组有 拥有者、群组、其它组 三种。每个文件都可以针对这三个属组(粒度),设
chmod修改权限
紫梦涵的博客
09-12 479
1.创建一个新文件 touch file_name 注意:linux没有文件拓展名的概念,创建时是什么样的就是什么样的!!! 2.查看权限 d:代表是一个目录 -:普通文件 r:读权限 w:写/修改的权限 x:可以执行的权限 3.命令格式:chmod [who] operator [permission] file_name [ ]:中括号为选填 who: u:文件属主权限 g:同组用户权限 o:其他用户权限 a:所有用...
linux conf文件读写,WSL文件读写权限配置方法
weixin_35625324的博客
04-28 1434
Windows subsystem for Linux昨天晚上俄罗斯世界杯开踢了,看起来足球世界还是没怎么变,梅罗仍然统治世界,沙特仍然被欧洲球队打穿,中国队仍然四年一度的缺席……但是技术的世界却是日新月异,连微软都拥抱开源了,Windows subsystem for Linux (WSL) 简直是在赤裸裸的勾引程序员扔掉Mac投奔Windows。既有Windows的桌面和Office套件,又可...
如何在两台Linux系统的计算机上实现文件共享?写出该服务器配置细节以及在客户端的执行命令。
最新发布
06-11
Linux系统中,可以使用NFS(Network File System)实现文件共享。 服务器配置细节: 1. 安装NFS服务器: ``` sudo apt-get install nfs-kernel-server ``` 2. 创建共享目录,并设置权限: ``` sudo mkdir ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值