/var/db/sudo 授权sudo用户的密码时间戳地址 %sa代表授权一个组。

一般用visudo操作它会自动检查语法避免错误,如果用echo方式追加进/etc/sudoers里那么就需要用visudo -c手动检查下语法。sudo -l查看自身权限。

可以设置用户别名,权限别名等,主机别名等让它们在sudoers里调用。

批量创建用户和密码:

groupadd -g 999 phpers

for n in `seq 5`

do

  useradd -g phpers php00$n

echo 111111 |passwd --stdin php00$n

done

别名分类加入sudoers

##Cmnd_Alias by weipeng##2017

Cmnd_Alias CY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top

Cmnd_Alias GY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top

然后visudo贴到结尾。

然后注意切换到root提权:

Runas_Alias OP=root  !/usr/sbin/visudo表示不能只能visudo 用‘\’换行


日志审计:

rpm-qa 查询软件包有没安装

1、echo Defaults logfile=/var/log/sudo.log>>/etc/sudoers

2、Echo local2.debug /var/log/sudo.log>>/etc/syslog.conf

3、/etc/init.d/syslog restart

原理syslog/var/log/sudo.log追加到syslog.conf后权限只有root有读写权限,避免了其他用户有权限将sudo.log将日志删除了。然后会在sudo.log里留下用户操作的日志。