使用sudo分配管理权限

最新推荐文章于 2023-05-19 11:54:25 发布
最新推荐文章于 2023-05-19 11:54:25 发布
阅读量695 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_xyy/article/details/90415073
版权

2.使用sudo分配管理权限
问题
本案例要求利用sudo机制分配管理操作权限,主要完成以下任务:
1)为sudo机制启用日志记录,以便跟踪sudo执行操作
2)允许网站运营专员tradm通过sudo方式控制httpd、mysqld服务的运行
3)允许用户ugadm通过sudo方式添加/删除/修改除root以外的用户账号
4)允许wheel组成员以特权执行/usr/bin/下的命令
步骤
实现此案例需要按照如下步骤进行。
步骤一:为sudo机制启用日志记录,以便跟踪sudo执行操作
1)修改/etc/sudoers配置,添加日志设置
[root@svr5 ~]# visudo
Defaults logfile="/var/log/sudo"
… …
2)以root(默认有所有权限)执行sudo操作
[root@svr5 ~]# sudo -l //查看授权的sudo操作
匹配此主机上 root 的默认条目:
logfile=/var/log/sudo, requiretty, !visiblepw, always_set_home, env_reset, env_keep=“COLORS
DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS”, env_keep+=“MAIL PS1 PS2 QTDIR USERNAME
LANG LC_ADDRESS LC_CTYPE”, env_keep+=“LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
LC_MESSAGES”, env_keep+=“LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE”,
env_keep+=“LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY”,
secure_path=/sbin:/bin:/usr/sbin:/usr/bin

用户 root 可以在该主机上运行以下命令:
(ALL) ALL
3)确认日志记录已生效
[root@svr5 ~]# tail /var/log/sudo
… …
May 16 22:14:49 : root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=list
步骤二:允许网站运营专员tradm通过sudo方式控制httpd、mysqld服务的运行
1)修改/etc/sudoers配置
为tradm授予相关脚本的执行权限,允许通过servivce工具来管理httpd、mysqld服务,或者直接执行这两个脚本。
[root@svr5 ~]# visudo
… …
Cmnd_Alias LAMP_CTRL=/sbin/service httpd *, /sbin/service mysqld, /etc/init.d/ht
tpd, /etc/init.d/mysqld
tradm localhost,svr5=LAMP_CTRL
2)切换为tradm用户,并验证sudo执行权限
[root@svr5 ~]# su - tradm
[tradm@svr5 ~]$ sudo -l
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

[sudo] password for tradm: //验证用户tradm的口令
… …
用户 tradm 可以在该主机上运行以下命令:
(root) /sbin/service httpd *, /sbin/service mysqld *, /etc/init.d/httpd,
/etc/init.d/mysqld

[tradm@svr5 ~]$ service mysqld start //不用sudo时启动服务失败
touch: 无法创建"/var/log/mysqld.log": 权限不够
chown: 正在更改"/var/log/mysqld.log" 的所有者: 不允许的操作
[失败]
… …
[tradm@svr5 ~]$ sudo service mysqld start //通过sudo启动服务成功
正在启动 mysqld: [确定]
步骤三:允许用户ugadm通过sudo方式添加/删除/修改除root以外的用户账号
1)修改/etc/sudoers配置
为ugadm授予用户管理相关命令的执行权限,例外程序以!符号取反,放在后面。在执行相关程序时,可以利用通配符*。
[root@svr5 ~]# visudo
… …
Cmnd_Alias UADM_CTRL=/usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,
!/usr/sbin/user* * root
ugadm localhost,svr5=UADM_CTRL
2)切换为ugadm用户,验证sudo权限
可以通过sudo方式来添加/删除/修改普通用户:
[root@svr5 ~]# su – ugadm
[ugadm@svr5 ~]$ sudo -l
… …
用户 ugadm 可以在该主机上运行以下命令:
(root) /usr/bin/passwd, !/usr/bin/passwd root, /usr/sbin/user*,
!/usr/sbin/user* * root
[ugadm@svr5 ~]$ sudo useradd newuser01 //可以添加用户
[ugadm@svr5 ~]$ sudo passwd newuser01 //可以修改普通用户的口令
更改用户 newuser01 的密码 。
新的 密码:
重新输入新的 密码:
passwd: 所有的身份验证令牌已经成功更新。
[ugadm@svr5 ~]$ sudo usermod -L newuser01 //可以修改用户属性
[ugadm@svr5 ~]$ sudo userdel -r newuser01 //可以删除用户账号
但是不能修改root用户的属性:
[ugadm@svr5 ~]$ sudo usermod -L root
对不起,用户 ugadm 无权以 root 的身份在 svr5.tarena.com
执行 /usr/sbin/usermod -L root。
[ugadm@svr5 ~]$ sudo passwd root
对不起,用户 ugadm 无权以 root 的身份在 svr5.tarena.com
执行 /usr/bin/passwd root。
步骤四:允许wheel组成员以特权执行/bin/下的所有命令
此案例用来展示sudo的便利性及设置不当带来的危险性,生产环境下慎用。
实现时参考下列操作:
[root@svr5 ~]# visudo
… …
%wheel localhost,svr5=/bin/*
[root@svr5 ~]# usermod -a -G wheel zengye
[zengye@svr5 ~]$ sudo -l
… …
用户 zengye 可以在该主机上运行以下命令:
(root) /bin/*
[zengye@svr5 ~]$ sudo /bin/bash //与sudo –i 等效,表示初始化登录
[root@svr5 zengye]# //直接成root了
注意:类Shell的程序不要允许用户sudo执行,否则等同于开放所有root权限。
比方说,如果将/bin/bash复制为/sbin/serv1ce(名称可以有一定迷惑性),然后夹杂在其他正常命令里一起授权给用户tradm,则用户tradm执行sudo serv1ce后就具有了root的身份。
[zengye@svr5 ~]$ sudo serv1ce //执行伪装的Shell程序
[sudo] password for zengye: //验证用户口令
[root@svr5 zengye]# whoami //查看当前身份
root

S_XYY
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统Sudo命令的使用说明
03-04
Sudo”是Unix/Linux平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他特许用户才能完成的任务,或者编辑一些系统配置文件。这样以来,就不仅减少...
sudo问题汇总
weixin_33782386的博客
11-18 117
1. 注释Defaults requiretty Defaults requiretty修改为 #Defaults requiretty, 表示不需要控制终端。 否则会出现sudo: sorry, you must have a tty to run sudo 2. 增加行 Defaults visiblepw 否则会出现 sudo: no tty present and n...
案例-配置sudo用户免密功能(工作实战-亲测成功-20210410)
weixin_39246554的博客
04-10 2107
案例-配置sudo用户免密功能(工作实战-亲测成功-20210410) ​ 在有些场景下,比如在脚本中,不希望每次执行sudo命令时都输入自己的密码,可以通过NOPASSWD实现此功能。 ​ 另,关于自己工作中配置sudo用户免密功能,遇到了很多坑,这里记录下,方便大家look。 1、自己遇到的坑 ​ 关于如何配置sudo用户免密功能,百度搜了下,无非就是配置参数NOPASSWD。但配置在哪里,就很关键了。这里也是很多小伙伴踩坑的地方。 ​ 如果配置在root行下面,经实际测试是不能实现sudo免密功能的,
Linux权限命令-sudo权限详解
热门推荐
鹅不糊涂的博客
05-19 2万+
本文将为初学者详细解释 Linux 系统下的 sudo 命令,完整阐述其用途、应用场景和实现方法。sudo 命令可以帮助你更好地管理系统。如果你是一名正在探索 Linux 的爱好者,那么本文将是你不可错过的入门指南!
ubuntu创建用户并指定只能对某个文件夹拥有读写权限
weixin_43568060的博客
12-13 4593
笔者docker部署前端项目时,遇到的一个需求,要前端自行上传文件到某个文件夹 该用户只能对指定文件家进行修改 不能对其他文件有权限, 根据需求,要创建一个用户,并指定权限,操作如下 创建用户 sudo su useradd <用户名> 设置密码 passwd <用户名> 指定解释执行器 usermod -s /bin/bash csdn 指定主目录 ...
Linux上使用sudo命令给其他用户提权,为其赋予超级用户权限执行部分无权限命令以及sudo的常见参数简介
树下一少年的博客
01-09 1万+
本文基于Linux上CentOS 7版本进行配置演示 Linux上使用sudo命令给其他用户提权,为其赋予超级用户权限执行部分无权限命令以及sudo的常见参数简介 一.编辑配置文件给其他用户配置提权 1.查看配置文件内常用的参数 2.查看其他用户无权限时的情况 3.为其他用户配置sudo权限并测试 二.配置文件使其他用户执行sudo命令时无需密码 1.深感输密码的麻烦,为其设置使用sudo无需密码 2.在其他用户方测试 三.sudo命令的常见参数 1.sudo -h 2.sudo -l
sudo权限管理
识途老码
01-28 2432
Linux配置sudo权限
linux目录中添加读写权限,在Linux上给用户赋予指定目录的读写权限
weixin_35712036的博客
04-28 6603
在上篇文章中我们向您展示了如何在 Linux 上创建一个共享目录。这次,我们会为您介绍如何将 Linux 上指定目录的读写权限赋予用户。有两种方法可以实现这个目标:第一种是 使用 ACL (访问控制列表) ,第二种是创建用户组来管理文件权限,下面会一一介绍。为了完成这个教程,我们将使用以下设置。 操作系统:CentOS 7 测试目录:/shares/project1/r...
Linux基础知识与系统管理视频.rar
01-09
8.4 权限管理-sudo权限 9 文件系统管理 9.1 文件系统管理-回顾分区和文件系统 9.2.1 文件系统管理-文件系统常用命令-df、du、fsck、dumpe2fs 9.2.2 文件系统管理-文件系统常用命令-挂载命令 9.2.3 文件系统管理-...
Linux基础知识与系统管理教学课件-pdf.rar
01-09
8.4 权限管理-sudo权限 9 文件系统管理 9.1 文件系统管理-回顾分区和文件系统 9.2.1 文件系统管理-文件系统常用命令-df、du、fsck、dumpe2fs 9.2.2 文件系统管理-文件系统常用命令-挂载命令 9.2.3 文件系统管理-...
RunDeck服务器管理
02-11
Rundeck服务器管理 先决条件 已安装的VirtualBox,版本:6.1 已安装的Vagrant版本:2.2.9 使用说明 git clone https://github.com/Spartabariallali/linux_server_administration.git cd linux-server-...
ssh-aad :(不推荐使用)SSH服务器的Azure AD身份验证
01-28
授予应用程序对Azure管理API的委派权限(以供将来使用) 以sudo的身份运行以下命令: wget -O - https://raw.githubusercontent.com/thenetworg/ssh-aad/master/setup.sh | sh : wget -O - ...
等保sudo权限配置
漠效的博客
02-28 1962
前言 由于近期协助等保,研究了一下Centos的权限配置,又有一些新的理解,于是写一篇文档对之前的安全设置进行补充 by: 之前写一半的老存稿,没什么可修改的,先发再说。。 su 可进行任何身份的切换,常用的操作如下,其他参数实际并不常用 su - 代表使用 login-shell 的变量文件读取方式来登陆系统 如果没有加用户名,则代表切换为 root 的身份 如果没有加-,直接加用户名,则代表了读取的变量方式为 non-login shell
sudo命令、限制root远程登录
weixin_44523662的博客
08-27 158
sodu命令: 为了系统更加安全的命令,授权普通用户以root的身份临时去执行一条命了命令, visudo命令打开sudo的配置文件,比较重要,(实际上打开的是/etc/sudoers.tmp),不建议直接用vi 去直接编辑这个文件,因为一旦有语法错误他是检测不到的,建议用visudo。 它表示允许root用户运行所有的命令在任何地方,这是这个配置文件最核心的一句配置。 在root下面再配置一行...
linux sudo使用sudoers配置详解
weixin_34183910的博客
12-22 784
sudo 是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等等。这样不仅减少了root用户的登陆和管理时间,同样也提高了安全性。Sudo不是对shell的一个代替,它是面向每个命令的。它的特性主要有这样几点: 1.sudo能够限制用户只在某台主机上运行某些命令。 2.sudo提...
在linux上用sudo指定用户执行程序或读写删文件
经验之谈,不做搬运工
10-13 560
在linux上用sudo指定用户执行程序或读写删文件   sudo -h usage: sudo -h | -K | -k | -L | -l | -V | -v usage: sudo [-bEHPS] [-p prompt] [-u username|#uid] [VAR=value]             {-i | -s | &lt;command&gt;} us...
普通用户的sudo权限配置
diqu8498的博客
09-09 485
添加一个用户:useradd 用户名(只能root用户使用) 为添加的用户设置密码:passwd 用户名            根据提示设置密码 查看所有的用户:cat /etc/passwd 删除一个用户:userdel -r spark 加一个-r就表示把用户及用户的主目录都删除,不加就只把用户从配置文件里删掉但用户的数据和主目录还在        删除之前需...
sudo命令及权限管理命令
weixin_45440548的博客
03-11 3771
一、sudo命令 概念: sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等。这样不仅减少了root用户的登录和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。 特性: 1、sudo能够限制用户只在某台主机上运行某些命令 2、sudo提供了丰富的日志,详...
Linux操作系统相关习题集
最新发布
04-25
Linux操作系统相关习题集,包含常用名、Linux系统基础知识等
sudo命令无法使用
09-09
当您在使用sudo命令时,如果提示"你不在sudoers文件中"或类似的错误,那说明您当前的用户没有被...如果您当前的用户没有被授权使用sudo命令,您需要联系系统管理员来添加您的用户到sudoers文件中,并分配相应的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值