用visudo,或者vim /etc/visudoers,在98行下面编辑,不过也可以在别的地方输入。
kd用户因为有nopasswd权限,所以kd用户切换到root时,就没要输入密码
curry用户有useradd命令使用权限
但是前面要加sudo执行,不然还是没有权限
命令用逗号隔开,命令要全路径
运维人多时,加一个组,然后给组授权
sudo -l 查看有什么权限
做个试验
普通用户kobe是没法修改/etc/sudoers,因为没有权限
例如用cat,sed就不能修改
但是如果用root给用户kobe,增加sudo sed的权限
这句可以这么理解,就是kobe用户,可以在所有机器上,以所有用户的身份,来执行sed,也就是可以用root的用户来执行了,修改sudoers就没有问题了
验证:
又忘记用sudo了
切换到root就没要求密码
输入口令,5分钟内不再要输
还可以把这两个删掉,试下还要不要输入密码
参数说明:
这里不仅用visudo,以及vim配置文件可以修改,
上面用到的echo,sed,cat都能实现
不过就是改完后,一定要进行语法检查sudo -c
并且确保文件权限440
Centos6权限不对也可以登录,但是440是最安全的
牢记root密码,万一有问题su - 可以回root修改
关于四个别名的定义
root ALL=(ALL) COMMAND 主机别名对应位置
root ALL=(ALL) COMMAND 用户别名对应位置
root ALL=(ALL) COMMAND 身份别名对应位置
就是以哪个用户的身份执行
例如:OP=root,testout 就是可以sudo过去的用户
总结:
要求:
前期准备工作,增加用户,组,给定密码
修改sudoers文件:
Cmnd_Alias 要大写
检查是否正确:
1、授权规则中的所有ALL字符串必须大写字母
2、※Cmnd_Alias USERCMD = /usr/sbin/useradd,\
!/user/bin/passwd “\“代表:换行符
3、可以有正则,也可以有!(取反)
配置文件中有这么一段:
禁止通过ssh远程执行sudo命令
且格式为: ssh hostname sudo <cmd>
因为会显示明文密码,如果要使用,
可以ssh -t hostname sudo <cmd>的方式来执行,或者在配置文件中注释掉
配置sudo命令用户行为日志审计
只记录,执行sudo命令的用户的操作
试验:
已安装
没有的话,就yum install sudo syslog –y
配置文件增加一句
检查语法
用普通用户执行几条sudo命令,再查看这个日志文件:记录在里面了就
最后一条,虽然没有权限执行,但是只要是用了,还是会记录。
转载于:https://blog.51cto.com/11755576/2044554
扫一扫
1308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
