Linux sudo与/etc/sudoers

最新推荐文章于 2024-06-07 00:45:00 发布
最新推荐文章于 2024-06-07 00:45:00 发布
阅读量1.4k 收藏 22
点赞数 19
分类专栏: Linux命令 文章标签: linux 服务器 linux su linux sudo /etc/sudoers
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38452632/article/details/135821675
版权

sudo介绍

  1. sudo命令可以让普通用户在执行需要超级用户权限的命令时,临时提升为超级用户。例如,普通用户可以使用sudo执行系统管理任务,如安装软件、修改系统配置等。
  2. 访问控制:sudo命令通过sudoers文件中的配置,可以对用户和用户组进行细粒度的访问控制。管理员可以指定哪些用户可以使用sudo以及可以执行哪些命令。
  3. 审计和日志记录:sudo命令可以记录用户执行的每个sudo命令,包括命令的时间、执行者和执行的命令本身。这对于安全审计和故障排除非常有用。
  4. 环境变量控制:sudo命令可以通过Defaults行中的配置,控制sudo命令执行时的环境变量。这有助于确保以root权限执行命令时,环境变量不会被滥用或篡改。
  5. 密码验证:sudo命令通常需要用户输入自己的密码来验证身份。这增加了安全性,确保只有授权的用户可以执行特权命令。
sudo apt install net-tools
sudo dmesg
sudo lshw

/etc/sudoers文件介绍

root@bsp-PowerEdge-R6525:~# cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d

  1. Defaults env_reset: 这个行指定了默认的环境变量重置规则,当用户使用sudo命令时,环境变量将被重置为默认值。
  2. Defaults mail_badpass: 这个行指定了当用户输入错误密码时,系统会发送邮件通知。
  3. Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin": 这个行指定了sudo命令的安全路径,即sudo命令可以在这些路径下执行。
  4. root ALL=(ALL:ALL) ALL: 这个行指定了用户root可以在任何主机上以任何用户身份执行任何命令。
  5. %admin ALL=(ALL) ALL: 这个行指定了admin组的成员可以在任何主机上以任何用户身份执行任何命令。
  6. %sudo ALL=(ALL:ALL) ALL: 这个行指定了sudo组的成员可以在任何主机上以任何用户身份执行任何命令。
  7. #includedir /etc/sudoers.d: 这个行是一个注释,指示可以使用#include指令来包含其他sudoers文件的路径。在这个例子中,它指定了/etc/sudoers.d目录下的文件将被包含进来。

visudo修改/etc/sudoers文件

如何给用户添加sudo权限

修改/etc/sudoers
在下面添加
# User privilege specification
root ALL=(ALL:ALL) ALL

+++
arron ALL=(ALL:ALL) ALL
arron ALL=(ALL:ALL) ALL: 这个行指定了用户arron可以在任何主机上以任何用户身份执行任何命令。

添加输出密码提示

修改/etc/sudoers
+++
Defaults  badpass_message="Password is wrong, please try again"

添加重试次数

修改/etc/sudoers
+++
Defaults   passwd_tries=5

sudo生效持续时间(默认5分钟)

timestamp_timeout Number of minutes that can elapse before sudo will ask for a passwd again. The timeout may include a fractional component if minute granularity is insufficient, for example 2.5. The default is 15. Set this to 0 to always prompt for a password. If set to a value less than 0 the user's time stamp will not expire until the system is rebooted. This can be used to allow users to create or delete their own time stamps via “sudo -v” and “sudo -k” respectively.

修改/etc/sudoers
+++
Defaults timestamp_timeout =10

等待用户输入时间

passwd_timeout Number of minutes before the sudo password prompt times out, or 0 for no timeout. The timeout may include a fractional component if minute granularity is insufficient, for example 2.5. The default is 0.

修改/etc/sudoers
+++
Defaults   passwd_timeout=2

sudo log设置

Logging

sudoers can log both successful and unsuccessful attempts (as well as errors) to syslog(3), a log file, or both. By

default, sudoers will log via syslog(3) but this is changeable via the syslog and logfile Defaults settings. See LOG

FORMAT for a description of the log file format.

Defaults@SERVERS log_year, logfile=/var/log/sudo.log

修改/etc/rsyslog.conf文件
+++
local2.debug                           /var/log/sudo.log

修改/etc/sudoers
+++
Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog

创建日志文件
touch /var/log/sudo.log
systemctl restart rsyslog

su介绍

su命令是在Unix和类Unix系统上使用的命令,用于切换用户身份。下面是su命令的一些常见用法和功能:

1. 切换用户:su命令可以让当前用户切换到另一个用户的身份,例如从普通用户切换到root用户。默认情况下,su命令会切换到root用户,但也可以指定其他用户。

2. 执行命令:su命令可以在切换用户后,直接执行命令。例如,可以使用su命令切换到root用户,然后执行需要root权限的命令。

3. 环境变量:su命令可以在切换用户时,保留原用户的环境变量。这对于需要在新用户身份下执行命令,但需要使用原用户的环境变量的情况非常有用。

4. 密码验证:su命令通常需要用户输入目标用户的密码来验证身份。这增加了安全性,确保只有授权的用户可以切换到目标用户的身份。

su命令用法:

1. 切换到root用户:

```

su

```

执行上述命令后,系统会提示输入root用户的密码。输入密码后,即可切换到root用户身份。

2. 切换到其他用户:

```

su username

```

执行上述命令后,系统会提示输入目标用户的密码。输入密码后,即可切换到目标用户身份。

3. 切换并执行命令:

```

su -c "command"

```

执行上述命令后,系统会提示输入root用户的密码。输入密码后,系统会以root用户身份执行指定的命令。

4. 切换并保留原用户的环境变量:

```

su -m username

```

执行上述命令后,系统会提示输入目标用户的密码。输入密码后,系统会切换到目标用户身份,并保留原用户的环境变量。

5. 切换并指定shell:

```

su -s /bin/bash username

```

执行上述命令后,系统会提示输入目标用户的密码。输入密码后,系统会切换到目标用户身份,并使用/bin/bash作为shell。

root@admin:/home# adduser arron-build
Adding user `arron-build' ...
Adding new group `arron-build' (1010) ...
Adding new user `arron-build' (1010) with group `arron-build' ...
Creating home directory `/home/arron-build' ...
Copying files from `/etc/skel' ...
New password: 
Retype new password: 
passwd: password updated successfully
Changing the user information for arron-build
Enter the new value, or press ENTER for the default
        Full Name []: 
        Room Number []: 
        Work Phone []: 
        Home Phone []: 
        Other []: 
Is the information correct? [Y/n] 
root@admin:/home# 
root@admin:/home# 
root@admin:/home# 
root@admin:/home# 
root@admin:/home# visudo 
root@admin:/home# 
root@admin:/home# su arron-build
arron-build@admin:/home$

su和sudo区别

1. su命令需要目标用户的密码,而sudo命令需要当前用户的密码。使用su命令切换到目标用户身份时,需要输入目标用户的密码。而使用sudo命令执行需要root权限的命令时,需要输入当前用户的密码。

2. su命令切换到目标用户身份后,会保留原用户的环境变量。而sudo命令执行命令时,默认情况下会清除原用户的环境变量,只保留少量的安全环境变量。

3. su命令切换到目标用户身份后,会一直保持该身份,直到使用exit命令退出。而sudo命令执行完命令后,会自动返回原用户身份。

4. su命令需要使用root用户或具有sudo权限的用户才能使用。而sudo命令只需要当前用户具有sudo权限即可使用。

总的来说,sudo命令更加灵活和安全,因为它只需要输入当前用户的密码,而且执行命令时会清除大部分环境变量,从而减少了潜在的安全风险。但是,在需要长时间使用root权限的情况下,su命令更加方便,因为它可以一直保持目标用户身份,而不需要反复输入密码。

天才小C
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
/etc/sudoers配置文件
emma_he的专栏
06-23 4185
通常我们并不以root身份登录,但是当我们执行某些命令 (command)时需要用到root权限,我们通常都是用"sudo command"来执行command。由于使用Ubuntu,所以经常都都用sudo,而使用sudo时,又得输入密码,所以我就寻找sudo不输入密 码的方法。前阵子google了一下,很容容易找到一个方法,但是对其不够理解,今天,仔细研究了一下/etc/sudoers这个文
ansible-sudoers:控制默认etcsudoers文件和包含的文件目录的配置
01-31
`/etc/sudoers` 文件是 Linux 系统中管理 sudo 命令权限的核心配置文件。它定义了哪些用户或组可以使用 sudo 执行哪些命令,以及相应的限制条件。通过 Ansible 的 `sudoers` 角色,你可以集中化管理这些设置,确保...
Linux下的sudo及其配置文件/etc/sudoers详细配置
m0_68431045的博客
12-11 7169
它的主要配置文件是sudoers,linux下通常在/etc目录下,如果是solaris,缺省不装sudo的,编译安装后通常在安装目录的 etc目录下,不过不管sudoers文件在哪儿,sudo都提供了一个编辑该文件的命令:visudo来对该文件进行修改。sudolinux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等等。sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。
如何编辑 sudoers 文件
最新发布
rubys007的博客
06-07 957
特权分离是 Linux 和类 Unix 操作系统中实施的基本安全范例之一。普通用户以有限权限操作,以减少其影响范围仅限于其自身环境,而不是更广泛的操作系统。一个名为root的特殊用户拥有超级用户权限。这是一个没有普通用户限制的管理账户。用户可以以多种不同的方式以超级用户或root权限执行命令。在本文中,我们将讨论如何正确且安全地获取root权限,特别关注编辑文件。
sudo配置文件/etc/sudoers详解及实战用法
Field_Yang的博客
05-31 8万+
一、sudo执行命令的流程 将当前用户切换到超级用户下,或切换到指定的用户下, 然后以超级用户或其指定切换到的用户身份执行命令,执行完成后,直接退回到当前用户。 具体工作过程如下: 当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 -->确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 -->若密码输入成功,则开始执行...
详解Linux下的sudo及其配置文件/etc/sudoers的详细配置
09-15
主要介绍了详解Linux下的sudo及其配置文件/etc/sudoers的详细配置的相关资料,需要的朋友可以参考下
/etc/sudoers
既然选择了远方 便只顾风雨兼程 - 永强
10-31 443
/etc/sudoers 1. sudo cat /etc/sudoers strong@foreverstrong:~$ cat /etc/sudoers cat: /etc/sudoers: Permission denied strong@foreverstrong:~$ strong@foreverstrong:~$ sudo cat /etc/sudoers [sudo] password for strong: # # This file MUST be edited with the 'vis
/etc/sudoers文件解析
热门推荐
Shanfenglan's blog
10-30 9万+
CATALOG前言规则讲解第一部分A第二部分B第三部分C第四部分D第五部分E举例 前言 /etc/sudoers文件一般涉及到linux系统中关于sudo命令的权限配置问题。 规则讲解 sudoers文件的数据,每一行分为五个部分,我们用ABCDE来表示。 一般情况下是: A B = {©} {D} E 且C与D是可以省略的,我们用大括号扩起来方便大家注意到,但真正书写命令的时候不需要打括号。 第一个部分A代表授权使用sudo的用户或者组 第二部分B代表允许授权用户在哪些主机上使用这些权利 第三部分C代
linux不能使用sudo命令解决方案
09-07
sudoers 文件是 Linux 系统中的一种配置文件,它定义了哪些用户可以使用 sudo 命令。默认情况下,root 用户是 sudoers 文件中的唯一用户,而其他用户则需要手动添加到该文件中。 要解决 "username is not in the ...
linux sudo命令详解
01-20
简单的说,sudo 是一种权限管理机制,管理...默认的安全策略记录在 /etc/sudoers 文件中。而安全策略可能需要用户通过密码来验证他们自己。也就是在用户执行 sudo 命令时要求用户输入自己账号的密码。如果验证失败,su
Linux 中 root 与 sudo 的用法与区别.docx
11-09
Linux 中 root 与 sudo 的用法与区别 在 Linux 系统中,root 和 sudo 是两个非常重要的概念,它们都是用来管理系统的安全和权限的。很多人可能会有疑问,为什么我们建议使用 sudo 而不是直接使用 root 账户?在本文...
sudo指令和/etc/sudoers文件说明
weixin_30478619的博客
03-13 308
sudo 命令 -l 显示当前用户的sudo权限-l username 显示username的sudo权限-u username 以username的权限执行-k 强迫用户下一次执行sudo时问密码(不论有无超过n分钟)-b 后台执行-p 修改提示符,%u,%h-H 将HOME环境变量设为新身份的HOME环境变量-s 执行指定的shell-v ...
Linux系统通过文件/etc/sudoers设置用户使用sudo的权限/用户使用sudo的授权配置
liaowenxiong的博客
09-28 9211
使用 visudo 命令可以打开 /etc/sudoers 文件进行编辑设置 sudo,visodo 是编辑 /etc/sudoers 的命令,也可以不用这个命令,直接用 vi 来编辑 /etc/sudoers。不建议直接使用 vim,而是使用 visudo。因为修改 /etc/sudoers 文件需遵循一定的语法规则,使用 visudo 的好处就在于,当修改完毕 /etc/sudoers 文件,离开修改页面时,系统会自行检验 /etc/sudoers 文件的语法。 因此,修改 /etc/sudoers
Linux】让渡用户权限(/etc/sudoers
XavierJ的博客
06-09 2032
本文将讨论如何在 Linux 中让渡根用户的部分权限给其它普通用户。我们知道 Linux 的上帝只有也只能有一个,就是根用户 root,作为掌握根用户的系统管理员,理论上最好也只有一个。但在很多情况下,如多人共管主机,某些用户请求执行某些需要根用户权限的命令,或者系统管理员忙不过来的时候,就需要共享部分根用户权限给其他人了。将系统根用户密码告诉很多人,从安全角度考虑显然不是一个好的选择,这往往会成为灾难事件的开端。那么应该如何做呢?sudo 命令给我们提供了一个不需要根用户密码,也能执行根用户权限命令的途径
sudo权限配置,/etc/sudoers
gtinlian的博客
10-19 282
user host=(change_user) NOPASSWD:/bin/bash 字段信息 user 需要切换的用户 host 主机 change_user 切换到的用户 NOPASSWD 无需密码切换 /bin/bash 运行使用切换用户执行的命令
管理用户使用命令的权限/etc/sudoers
jun的博客
02-13 329
visudo命令是专门用来编辑/etc/sudoers文件。该配置文件可以管理用户及用户组权限,如下图,新增一行yunwei,管理运维用户权限:免密登录,禁用关机、init、删除根目录命令
理解/etc/sudoers配置文件
小木丶的专栏
01-08 433
转载自:https://blog.csdn.net/chinalinuxzend/article/details/3889046 sudo命令对于普通用户来说非常方便。但root需要妥善地设置/etc/sudoers文件,才能在满足用户方便性的同时保证系统的安全性。-------下面文章转载自网络----------- # User privilege specification roo...
linux sudo:/etc/sudoers.d/sice中第一行附近有解析错误
06-09
如果你在使用sudo命令时遇到“/etc/sudoers.d/sice中第一行附近有解错误”的错误消息,可能是sudoers文件中的语法错误导致的。你可以使用以下命令检查sudoers文件的语法是否正确: ``` sudo visudo -c -f /etc/sudoers.d/sice ``` 这将检查sudoers.d目录下名为sice的文件的语法是否正确,如果有任何语法错误,它将会显示出来。 你可以使用以下命令编辑sudoers文件并修复错误: ``` sudo visudo -f /etc/sudoers.d/sice ``` 在编辑器中修复错误,然后保存并退出。在保存并退出后,再次运行sudo命令,应该就不会再出现“/etc/sudoers.d/sice中第一行附近有解析错误”的错误消息了。 请注意,在编辑sudoers文件时要非常小心,因为语法错误可能会导致系统出现问题。建议在编辑文件之前备份sudoers文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值