LinuxGod

LinuxGod.net
Linux大神网——精选每一篇高品质的技术干货
  1. 首页
  2. 开源快讯
  3. 正文

sudo编辑sudo权限的配置账号登录系统账号做了什么操作

2023年4月27日 400点热度

一、sudo权限的配置

root帐号登入系统不会记录root帐号做了哪些操作。

su似乎不记录以root执行了什么命令,但会创建一条日志记录谁在哪些时侯弄成了root。而su切换为root身分,一直有很大的难以受控的权限,因而sudo是一个更好的选择。

sudo命令的意思是以其他用户身分执行命令,用户是否拥有sudo权限?拥有什么权限?sudo执行时是否须要输入密码?那些都是通过/etc/sudoers文件进行配置和控制的。普通用户我们可以通过su命令切换到其他用户,并且须要晓得其他用户的密码,倘若是须要执行管理员命令则须要晓得root密码。而且假如普通用户拥有sudo权限则可以只须要输入自己密码或则不输入密码完成管理员命令的执行。既保证了超级管理员的密码的安全性,又满足了普通用户执行特殊命令的需求给予linux用户管理员权限,这就是/etc/sudoers文件的作用。

1.编辑sudo权限命令

visudo

visudo命令实际更改的是/etc/sudoers文件2./etc/sudoers配置文件说明

[root/etc]# cat /etc/sudoers
[root@s142 etc]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##该文件允许特定用户像root用户一样使用各种各样的命令,而不需要root用户的密码 
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在文件的底部提供了很多相关命令的示例以供选择,这些示例都可以被特定用户或  
## ## 用户组所使用  
## This file must be edited with the 'visudo' command.
## 该文件必须使用"visudo"命令编辑
## Host Aliases
#主机别名
## Groups of machines. You may prefer to use hostnames (perhap using 
## wildcards for entire domains) or IP addresses instead.
## 对于一组服务器,你可能会更喜欢使用主机名(可能是全域名的通配符)
## 或IP地址代替,这时可以配置主机别名
 
# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2
## User Aliases
#用户别名
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
## 这并不很常用,因为你可以通过使用组来代替一组用户的别名  
# User_Alias ADMINS = jsmith, mikem
 
## Command Aliases
## These are groups of related commands...
## 指定一系列相互关联的命令(当然可以是一个)的别名,通过赋予该别名sudo权限,  
## 可以通过sudo调用所有别名包含的命令,下面是一些示例
 
## Networking
#网络操作相关命令别名  
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
 /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, 
 /sbin/mii-tool
## Installation and management of software
#软件安装管理相关命令别名  
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services
#服务相关命令别名 
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database
#本地数据库升级命令别名  
Cmnd_Alias LOCATE = /usr/sbin/updatedb
## Storage
#磁盘操作相关命令别名
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
## Delegating permissions
#代理权限相关命令别名 
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes
#进程相关命令别名
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers
#驱动命令别名
Cmnd_Alias DRIVERS = /sbin/modprobe
...
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是规则配置:什么用户在哪台服务器上可以执行哪些命令(sudoers文件可以在多个系统上共享)
## Syntax:
##语法
##      user    MACHINE=COMMANDS
##  用户 登录的主机=(可以变换的身份) 可以执行的命令  
##
## Allow root to run any commands anywhere
## 允许root在任何地方运行任何命令
root    ALL=(ALL)       ALL
## Allows members of the 'sys' group to run networking, software, service management apps and more.
## 允许“sys”用户组的成员运行 网络、软件、服务管理应用等命令。
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## Allows people in group wheel to run all commands
## 允许“wheel”用户组的成员运行所有命令
%wheel  ALL=(ALL)       ALL
## Allows people in group wheel to run all commands without a password
## 允许“wheel”用户组的成员运行所有命令,且运行时不需要输入密码
# %wheel        ALL=(ALL)       NOPASSWD: ALL
## Allows members of the users group to mount and unmount the cdrom as root
## 允许“users”组的成员运行 挂载、卸载光盘的命令
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
## 允许“users”组的成员在本机运行 /sbin/shutdown -h now 命令
# %users  localhost=/sbin/shutdown -h now
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
## 读取 /etc/sudoers.d 目录下所有文件的内容作为配嵌入到此配置文件
## 注意,下面的 # 后面并不是注释
#includedir /etc/sudoers.d

为用户配置sudo权限

[用户名]    [被管理主机的IP]=([可以使用的身份])   [NOPASSWD: ][授权的命令]

[被管理主机的IP]、[可以使用的身分]、[授权的命令]都可以使用ALL来表示不限制。

添加[NOPASSWD:]选项可以使用户在使用sudo权限时不须要输入密码。

[授权的命令]要使用绝对路径,多条命令之间可用冒号(,)分隔。

## Allow root to run any commands anywhere
## 允许root在任何地方运行任何命令
root    ALL=(ALL)       ALL

为用户组配置sudo权限

%[组名]    [被管理主机的IP]=([可以使用的身份])   [NOPASSWD: ][授权的命令]

[被管理主机的IP]、[可以使用的身分]、[授权的命令]都可以使用ALL来表示不限制。

linux给用户分配权限_linux用户分配权限_给予linux用户管理员权限

添加[NOPASSWD:]选项可以使用户在使用sudo权限时不须要输入密码。

用户组与用户的惟一区别是用户组前有个%

## 允许“wheel”用户组的成员运行所有命令,且运行时不需要输入密码
%wheel        ALL=(ALL)       NOPASSWD: ALL

3.注意事项

1)赋于用户sudo权限时一定要慎重,够用即可,不要赋于偏低的权限

2)[授权的命令]设置得越具体,用户获得的权限越小。

3)禁止赋于普通用户/usr/bin/passwd、/usr/bin/vi、/usr/bin/su、/usr/bin/bash命令的权限,拥此权限的用户可以更改root用户密码,之后为所欲为。

4)权利越大,责任越大。

二、sudo命令介绍1.sudo[命令]:以root身分来执行命令用户必须有相应命令的sudo权限

事例

[vagrant~]$ sudo less /root/.bash_history
cat report.md | grep -v ID | awk '$4 >= 99 {print $2}'
cat report.md | grep -v ID | awk '$4 <= 99 {print $2}'
cat report.md | grep -v ID | awk '$4 == 100 {print $2}'
sed -n '2p' report.md
sed -n '2,4p' report.md
sed '2,4d' report.md
cat -n report.md
sed '1a Begin' report.md
sed '1i Begin' report.md
sed '1a Begin' report.md
sed '1a End' report.md
sed '1c Hello World' report.md
sed '5c Hello World' report.md
... 省略 ...

2.sudosu:切换到root用户用户必须有/usr/bin/su命令的sudo权限

一旦切换成功suse linux,用户可以以root身分执行任何命令

事例

[vagrant/tmp]$ sudo su
[root/tmp]# passwd
更改用户 root 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

3.sudo-s:切换到root用户的shell可以不加,会使用默认shell

用户必须有相应shell命令的sudo权限,比如/usr/bin/bash

一旦切换成功,用户可以以root身分执行任何命令

事例

[vagrant/tmp]$ sudo -s /usr/bin/bash
[root/tmp]# passwd
更改用户 root 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

[vagrant/tmp]$ sudo -s
[root/tmp]# exit

4.sudo-l:列举目前用户可用的sudo权限的指令

事例

[vagrant~]$ sudo -l
...省略部分内容...
用户 vagrant 可以在本机上运行以下命令:
    (ALL) /usr/bin/bash, /usr/bin/su, /usr/bin/less

三、sudo权限的应用1.授权普通用户可以重启服务器

user1 ALL=(ALL) /sbin/shutdown -r now

[user1@10 ~]$ sudo -l
...省略部分内容...
用户 user1 可以在 10 上运行以下命令:
    (ALL) /sbin/shutdown -r now

2.授权普通用户可以添加其他用户

功能剖析

要想添加其他用户,必须拥有添加用户和设置密码的权限,即/usr/sbin/useradd和/usr/bin/passwd两个命令的sudo权限

若用户完全拥有/usr/bin/passwd的sudo权限,则可以通过sudopasswd命令或则sudopasswdroot命令更改root密码,这样才会显得十分不安全。

为此,须要严格限制用户对/usr/bin/passwd的权限:

user ALL=(ALL) /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root

/usr/bin/passwd[A-Za-z]*表示passwd命令后附加的第一个字符只能是大小写字母。

!/usr/bin/passwd""表示passwd命令后不能哪些都不加。

!/usr/bin/passwdroot表示passwd命令后不能加root。

三条句子的缺一不可,且次序不能颠倒。

实例

user1   ALL=(ALL)    /usr/sbin/useradd
user1   ALL=(ALL)    /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root

[user1@10 ~]$ sudo -l
...省略部分内容...
用户 user1 可以在 10 上运行以下命令:
    (ALL) /usr/sbin/useradd
    (ALL) /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root

[user1@10 ~]$ sudo useradd user2
[user1@10 ~]$ sudo passwd user2
更改用户 user2 的密码 。
新的 密码:
无效的密码: 密码是一个回文
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[user1@10 ~]$ grep user2 /etc/passwd
user2:x:1006:1007::/home/user2:/bin/bash

[user1@10 ~]$ sudo passwd
对不起,用户 user1 无权以 root 的身份在 10.0.2.15 上执行 /bin/passwd。
[user1@10 ~]$ sudo passwd root
对不起,用户 user1 无权以 root 的身份在 10.0.2.15 上执行 /bin/passwd root。

[user1@10 ~]$ sudo useradd 2_user
[user1@10 ~]$ sudo passwd 2_user
对不起,用户 user1 无权以 root 的身份在 10.0.2.15 上执行 /bin/passwd 2_user。

四、visudo命令简介

1、使用句型

用法:

#visudo[-chqsV][-fsudoers]

2、参数说明

参数参数说明

-c,--check检测sudoers配置文件

-f,--file=sudoers更改sudoers配置文件

-h,--help获取命令帮助

-q,--quiet沉静输出

-s,--strict严格句型检测

-V,--version查看命令版本

四、visudo命令使用示例

1、查看命令版本

[root@s142~]#visudo-V

visudoversion1.8.23

visudogrammarversion46

…

2、获取命令帮助

[root@s142~]#visudo-h

visudo-safelyeditthesudoersfile

…

3、检查sudoers文件

[root@s142~]#visudo-c

/etc/sudoers:parsedOK

4、修改sudoers文件

[root@s142~]#cd/etc/

[root@s142etc]#visudo-fsudoers

##Sudoersallowsparticularuserstorunvariouscommandsas

##therootuser,withoutneedingtherootpassword.

…

5、严格执行句型检测编辑

实际上我们可以直接编辑/etc/sudoers文件,直接编辑不会进行句型检测。使用visudo-s可以执行sudoers文件的编辑,编辑国产中实际编辑的是/etc/sudoers.tmp文件linux移植,编辑完成后必须wr保存后就会存入sudoers文件。保存前会进行句型检测给予linux用户管理员权限,假如句型检测失败,会进程错误提示,告知是哪一行有句型错误。假如强制保存会有危险。这就是visudo形式编辑sudo文件的用处。

[root@s142etc]#visudo-s

本作品采用 知识共享署名 4.0 国际许可协议 进行许可
标签: root权限 sudo 系统配置
最后更新:2023年4月27日

Linux大神网

每日更新,欢迎收藏♥ 不积跬步无以至千里,加油,共勉。

点赞
< 上一篇
下一篇 >

Linux大神网

每日更新,欢迎收藏♥
不积跬步无以至千里,加油,共勉。

最新 热点 随机
最新 热点 随机
Linux默认的最大文件描述符数量是1024 关于LinuxQt安装教程及配置的回答及解决办法的 MySQL8.0的f配置文件是管理MySQL服务器的重要文件 局域网聊天软件简单介绍TOP1内网通传书 ARM嵌入式Linux系统开发详解.rar 一说unix/linux中对于文件操作的这几个函数 如何利用linux来开发属于自己的嵌入式Linux操作系统 腦/網絡>操作系統/系統-alternate-i386.iso(EXT)这几个版本有什么区别 精通unixshell脚本编程之文件描述符数ulimitulimit-n ubuntu离线安装软件 鸿蒙OS环境搭建过程中遇到的问题及解决方案 写入数据覆盖的分析与执行 解读Rainbond集群的安装和运维的原理,便于用户搭建Rainbond Linux基础知识:文件描述符、文件指针、索引节点 如何解决Linux下的无线网卡驱动的问题? linux 文件描述符 (师)-unused-fdKernel:2.6.14CPUarchitecture Linux系统下如何搭建SVN服务器,详细说明各配置项的功能 修改软件源文件、UI界面设置换源操作|Ubuntu Ubuntu14.04.2为例进行说明,其它Ubuntu版本与此类似 Linux图形界面用户和Windows用户来说获取系统硬件信息都不算问题 Ubuntu下换内核的过程及详细分析内核操作分析
ubuntu离线安装软件 鸿蒙OS环境搭建过程中遇到的问题及解决方案精通unixshell脚本编程之文件描述符数ulimitulimit-n腦/網絡>操作系統/系統-alternate-i386.iso(EXT)这几个版本有什么区别如何利用linux来开发属于自己的嵌入式Linux操作系统一说unix/linux中对于文件操作的这几个函数ARM嵌入式Linux系统开发详解.rar局域网聊天软件简单介绍TOP1内网通传书MySQL8.0的f配置文件是管理MySQL服务器的重要文件关于LinuxQt安装教程及配置的回答及解决办法的Linux默认的最大文件描述符数量是1024C语言教程-Qt.12安装教程05-27Linux有7个运行级别(关机,停机模式、DellG3)(Linux基础知识)文件压缩、打包命令解析的Linux操作系统怎样执行?LinuxDNS服务器,如何安装、配置和维护它?AMD2950x+技嘉x399免驱USB网卡,我的无线网卡linux解压gz文件命令 蓝易云香港五网CN2网络压缩比率的测试环境Linux系统中用于管理和控制系统服务的强大工具介绍围绕API创建封装器的开源项目正变得越来越流行主频93.75MHz的MIPS64NECVR4300处理器在N64上运行
PHP和Zend框架的应用程序开发使用框架进行应用 Linux占用磁盘空间最小.lin的可定制性很高 Linux系统查看系统运行状态的top命令的功能 为什么我们还要使用一键DD重装/更换系统呢?? 利用FinalShell访问虚拟机FinalShell 查看Linux内核Kernel的场景情况查看的几种方式 Linux存储管理操作实践学号实验内容(9页珍藏版) 如何在Linux中找到软件包版本的版本? 一下,网络编程环境高级编程(第二版) 【王者荣耀】Linux内核的构成与学习方法(一) 系统下头文件、库文件搜索路径总结C/C++判断文件夹是否存在 (编程)编程的更进一步更进一步.1--2 linux中常用的用户管理命令:1groups?列出当前用户所属 《深入linux设备驱动程序内核机制》(1)_社会万象_光明网(图) Linux基础命令推荐书籍:《Linux就该这么学》 Python实现列表索引批量删除的5种方法,文中通过示例代码介绍 Linux中修改文件权限的命令、创建者所在组、所有人 通过命令lsblk结果可判断sda3是个逻辑卷LV为根目录/ 在Linux服务器中安装Web面板,老左怎么办? linux下查看进程端口占用情况的两种情况介绍-苏州安嘉
标签聚合
linux系统 操作 文件目录 sudo 软件 命令 linux服务器 虚拟机 文件 命令模式
书籍
课程
技术群
技术干货大合集↓
  • 2023年6月 / 26篇
  • 2023年5月 / 93篇
  • 2023年4月 / 90篇
  • 2023年3月 / 129篇
  • 2023年2月 / 84篇
  • 2023年1月 / 161篇
  • 2022年12月 / 187篇
  • 2022年11月 / 76篇
友情链接:

Linux书籍 | Linux命令 | Linux系统 | RHCE红帽认证 | Linux软件 | Linux教程 | CentOS系统 | Linux内核 | Linux服务器 | Linux大神 | IT资源

COPYRIGHT © 2023 linuxgod.net ALL RIGHTS RESERVED.