青蛙学Linux—sudo和它的配置文件

最新推荐文章于 2024-08-30 10:54:11 发布
最新推荐文章于 2024-08-30 10:54:11 发布
阅读量122 收藏
点赞数
文章标签: 操作系统 开发工具
原文链接:http://www.cnblogs.com/yu2006070-01/p/9963619.html
版权

sudo用于普通用户执行只有超级用户才有权限执行的命令。命令语法如下:

sudo [选项] 执行的命令

使用sudo执行命令时,系统会提示用户输入密码,注意,此时输入的密码为当前执行sudo用户的密码,而非root用户的密码。这也是为什么需要sudo命令的原因。使用su命令切换到root时,需要输入的是root用户的密码,这就造成了很大的安全隐患,root用户不应该把自己的密码告诉普通用户。并且使用su命令切换到root后将拥有root用户的所有权限,而sudo的权限是可以通过配置文件进行控制的。

sudo的配置文件为:

/etc/sudoers

在该配置文件中,可以对用户通过sudo执行的命令进行控制。以下为/etc/sudoers的权限控制部分:

## Next comes the main part: which users can run what software on 
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##
## 	user	MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere 
root	ALL=(ALL) 	ALL

## Allows members of the 'sys' group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel	ALL=(ALL)	ALL

## Same thing without a password
# %wheel	ALL=(ALL)	NOPASSWD: ALL

## Allows members of the users group to mount and unmount the 
## cdrom as root
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom

## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now

该部分遵循以下语法:

who where=(whom) [NOPASSWD:]command
  • who,哪个用户
  • where,从哪里登录
  • whom,以什么身份
  • NOPASSWD,使用sudo时不用输入密码
  • command,执行的命令;可设置多条命令,命令之间使用,分隔;在命令前使用!代表不能执行这条命令

这里我们回到上面的配置文件,查看里面生效的两条配置:

root    ALL=(ALL)   ALL
%wheel  ALL=(ALL)   ALL

根据上面的语法,我们可以分析出这两条配置的含义:root用户和wheel组(%wheel)可以在任何地方以任何的身份执行任何命令。

注意:在修改该配置文件时,建议使用visudo工具打开并修改,而不推荐使用Vi/Vim直接进行修改。visudo会在保存时对语法进行检查,如有错误将会进行提示,这样可以避免因语法错误造成该文件失效。在CentOS中,visudo调用的是Vi,所以操作同Vi。

一些例子:

设置用户fangyu可以在任何地方以root用户的身份执行所有命令:

在设置之前,先切换到fangyu用户,并执行useradd:

[fangyu@localhost ~]$ whoami
fangyu
[fangyu@localhost ~]$ useradd test
-bash: /usr/sbin/useradd: 权限不够
[fangyu@localhost ~]$ sudo useradd test
[sudo] fangyu 的密码:
fangyu 不在 sudoers 文件中。此事将被报告。

提示fangyu用户不在sudoers文件中,无法使用sudo。那么我们按要求在/etc/sudoers中加上以下配置:

fangyu ALL=(root) ALL

测试:

[fangyu@localhost ~]$ whoami
fangyu
[fangyu@localhost ~]$ sudo useradd test
[sudo] fangyu 的密码:
[fangyu@localhost ~]$ id test
uid=1001(test) gid=1001(test) 组=1001(test)

fangyu用户已经可以使用sudo命令执行useradd命令了,说明配置成功。

在上面设置的基础上,我们要使fangyu用户不能使用sudo时不能执行useradd命令,而且在使用sudo时不用输入密码,配置如下:

fangyu ALL=(root) NOPASSWD:ALL,!/usr/sbin/useradd

测试:

# 先删除test用户,测试是否可以使用其他命令并不用输入密码
[fangyu@localhost ~]$ whoami
fangyu
[fangyu@localhost ~]$ sudo userdel -r test
[fangyu@localhost ~]$ id test
id: test: no such user
# 配置成功,可以使用userdel命令并且不需要密码

# 测试是否可以使用useradd命令
[fangyu@localhost ~]$ sudo useradd test
对不起,用户 fangyu 无权以 root 的身份在 localhost.localdomain 上执行 /sbin/useradd test。
# 配置成功,无法执行useradd命令
允许fangyu用户不需要输入密码执行所有命令,除了passwd后加任意字符、passwd root和su这三个操作:
fangyu  ALL=(root)      NOPASSWD:ALL,!/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,!/usr/bin/su

另外需要注意的是,如果一个用户或组在配置文件中有多条配置且这些配置中有重合的地方,则下面一条配置将覆盖上面的配置,如:

# fangyu用户有以下两条配置
fangyu ALL=(root) ALL,!/usr/sbin/useradd
fangyu ALL=(root) NOPASSWD:ALL
# 则上面一条配置将不生效,fangyu用户仍然可以使用useradd命令

# 验证
[fangyu@localhost ~]$ whoami
fangyu
[fangyu@localhost ~]$ sudo useradd test5
[fangyu@localhost ~]$ id test5
uid=1003(test5) gid=1003(test5) 组=1003(test5)

额外的:sudo的环境变量问题

在自定义了环境变量之后,直接执行没有问题,但是使用sudo执行的时候却提示无法找到命令。这是sudo的设置问题,我们可以通过以下命令查看sudo的默认设置:

[root@localhost ~]# sudo -l
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 root 可以在 localhost 上运行以下命令:
    (ALL) ALL

注意上面的env_reset和secure_path条目,意思为使用sudo时将环境变量更改为安全路径,然后给出安全路径的定义,导致我们自定义的环境变量无法生效。如果需要修改,只需要找到/etc/sudoers文件中的以下内容:

#
# Preserving HOME has security implications since many programs
# use it when searching for configuration files. Note that HOME
# is already set when the the env_reset option is enabled, so
# this option is only effective for configurations where either
# env_reset is disabled or HOME is present in the env_keep list.
#
Defaults    always_set_home
Defaults    match_group_by_gid

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

#
# Adding HOME to env_keep may enable a user to run unrestricted
# commands via sudo.
#
# Defaults   env_keep += "HOME"

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin

修改:

Defaults    env_keep += "变量名"
# 添加环境变量保留

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:自定义变量
# 修改安全路径

转载于:https://www.cnblogs.com/yu2006070-01/p/9963619.html

weixin_30781775
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux】关于普通用户无法使用sudo指令的解决方案
StackFrame
11-18 4391
一字一句图文讲解帮助大家解决无法使用sudo指令的问题
Linux命令su、sudosudo su、sudo -i使用和区别
qq_40907977的博客
09-13 5702
sudo 与 su 两个命令的最大区别是: sudo 命令需要输入当前用户的密码, su 命令需要输入 root 用户的密码。 另外一个区别是其默认行为。 sudo 命令只允许使用提升的权限运行单个命令, 而 su 命令会启动一个新的 shell,同时允许使用 root 权限运行尽可能多的命令,直到明确退出登录。 su 用以切换成不同的用户的身份 默认只是切换身份,并没有切换环境变量,环境变量依然是普通用户的。切换用户身份时,用户的环境变量也切换成新用户的环境变量,所以"-"不能省略,不然有些操作无法
使用su切换用户身份提前配置sudo分配管理权限
weixin_40018205的博客
07-16 4152
[root@localhost ~]# su  - test2 -c "touch /tmp/test.txt" //以管理员的身份切换用户[root@localhost ~]# ls -ld /tmp/test.txt-rw-rw-r--. 1 test2 test2 0 7月  16 08:58 /tmp/test.txt[root@localhost ~]#[root@localhost ~...
Linux系统安全(包含系统引导,登录控制,用户提权和密码破解等)
时光慢旅的博客
11-17 1250
Linux系统安全(包含系统引导,登录控制,用户提权和密码破解等) 概述: 用户账号是计算机使用者的身份凭证或标识,在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。 一,基本安全措施 1,系统账号清理(限制新用户创建) Linux用户账号信息存在于/etc/passwd和/etc/shadow目录下。 /etc/passwd/目录:存放账号信息 /etc/shadow/目录:存...
权限管理
weixin_30673715的博客
07-08 65
ACL权限 查询分区状态命令:[root@localhost ~]# df -h文件系统 容量 已用 可用 已用% 挂载点/dev/mapper/centos-root 17G 3.2G 14G 19% /devtmpfs 475M 0 475M 0% /devtmpfs ...
《云计算》Linux基本防护措施(案例)
xiaozhedeitzhilu的博客
06-13 527
1.Linux基本防护措施 问题 本案例要求练习Linux系统的基本防护措施,完成以下任务: 1)禁止普通用户使用reboot、halt、poweroff程序 2)修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录) 3)锁定用户lisi的账户,使其无法登录,验证效果后解除锁定 4)锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修...
sudo权限配置文档
m0_46667432的博客
09-11 722
1.Linux给用户添加sudo权限 1)运行sudo命令提示错误 有时候,运行sudo命令会提示类似错误: ]# sudo admin admin is not the sudoers file. This incident will be reported. 解决办法: 1.输入" su - “后输入超级用户密码进入超级用户模式.(也可以直接用root用户) 2.输入” vim /etc/sudoers “进入编辑模式,找到这一行:“root ALL=(ALL) ALL” 在其下面添加” xx
LinuxSUDO命令及配置文件详解
m0_37890520的博客
05-21 1134
1.sudo介绍 配置sudo必须通过编辑/etc/sudoers文件,而且只有超级用户才可以修改它,还必须使用visudo编辑。之所以使用visudo有两个原因,一是它能够防止两个用户同时修改它;二是它也能进行有限的语法检查。 sudo命令用来以其他身份来执行命令,预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。 2、
linux sudo命令工具安装
热门推荐
我笔记
01-22 1万+
sudo command is used to execute command as another user. This is generally used to run command as root. In some cases we can get an error like -bash:sudo:command not found which means sudo is not installed. In this tutorial we will look different ways and.
ubuntu配置sudo_在Ubuntu上调整和配置Sudo的8种方法
09-16 4670
ubuntu配置sudoLike most things on Linux, the sudo command is very configurable. You can have sudo run specific commands without asking for a password, restrict specific users to only approved commands, ...
Linuxsudo版本,Linu下如何升级当前sudo版本
weixin_39602560的博客
04-30 3737
Linu下如何升级当前sudo版本Sudo 的全称是“superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。该漏洞是 sudo安全策略绕过问题,可导致恶意用户或程序在目标 Linux 系统上以 root 身份执行任意命令,即使 “sudo...
linux sudo 命令无法使用,用sudo命令无法读取环境变量的解决方法
weixin_36256361的博客
04-28 928
通过sudo -l来查看sudo的限制:$ sudo -lMatching Defaults entries for xxx on this host:env_reset, mail_badpass,secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser xxx may run the fo...
Docker容器技术
LongHongYu908的博客
08-29 408
Docker之父Docker就好比传统的货运集装箱。
虚拟机Linux(Centos7)系统静态IP设置
最新发布
BQ Blog
08-30 264
这篇博客介绍了在虚拟机中配置Linux系统的静态IP地址的方法,适用于通过DHCP获取IP地址导致频繁更换IP的情况。首先,用户需要将虚拟机的网络模式更改为NAT模式,并在虚拟机网络编辑器中记录子网IP、子网掩码和网关。然后,编辑相应的网络配置文件,将网络协议更改为静态,并手动设置静态IP地址、子网掩码、网关和DNS。最后,重启网络服务并验证配置是否生效。
Linux磁盘管理
张刚的博客
08-27 411
LVM创建,扩容磁盘,linux扩容系统盘,linux磁盘管理,linux新建分区,linux格式化分区
ARM/Linux嵌入式面经(二七):韶音
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-23 293
二面 7月16日 技术面RT-Thread是一个源码公开、可配置的实时操作系统(RTOS),其核心架构设计为微内核结构,支持多任务调度、同步、通信等功能。RT-Thread的调度机制是其核心功能之一,它确保了任务(线程)能够按照预定的优先级和规则有序执行。
操作系统原子操作
zzt_is_me的博客
08-28 3383
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
【亲测有效】linux抓包http协议分析,分析header和body
08-29 78
linux抓包http协议分析,分析header和body
[Meachines] [Medium] SecNotes XSRF跨站请求伪造+SMB-Webshell上传+Linux子系统命令历史记录泄露权限提升
08-29 366
#XSRF跨站请求伪造 #SMB-Webshell上传 #Linux子系统命令历史记录泄露权限提升
linux sudo配置
10-19
visudo命令会帮助你校验文件配置是否正确,如果不正确,在保存退出时就会提示哪段配置出错。在sudoers文件中,可以配置哪些用户或用户组可以使用sudo,以及可以执行哪些命令。sudo的配置需要谨慎,以免出现安全问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值