在linux系统中, 普通用户的权限很低, 比如shutdown关机, 或者yum install安装软件等很多命令都需要root用户权限来运行. 普通用户想要执行这些命令, 要么使用su命令切换为root用户, 而使用su命令需要输入root密码, 当服务器很多人共同管理, 所有管理员都需要知道root密码, 是很不安全的; 要么使用sudo命令临时获取root权限, 而执行sudo命令只需要用户自己的密码, 甚至可以免密码, 而且只有通过配置的特殊用户才具有sudo特权, 只要权限分配合理, 安全性会更有保障.
普通用户是否具有sudo特权, 由sudoers配置文件来指定, 可通过"man sudo"来确认配置文件位于"/etc/sudoers". 先用su命令切换到root用户, 再用vim打开文件, 用普通用户打开的话看不到文件内容:
[xy@localhost ~]$ su
Password:
[root@localhost xy]# vim /etc/sudoers
阅读文件内容,在第8行有说请用visudo命令编辑文件:
## This file must be edited with the 'visudo' command.
用"ll /etc/sudoers"查看文件属性也可发现该文件为只读文件,退出vim重新用visudo打开文件
[root@localhost xy]# visudo
1,最基础无脑的配置:
root ALL=(ALL) ALL
大概位于98行上下,其所代表的含义分别是:
用户帐号,也就是我们想要配置的让哪个系统帐号可以使用sudo命令
允许用户从哪些地方连接到这台主机,linux作为服务器,管理员是有可能从别的主机远程连接过来的
允许切换的身份,
允许执行的命令
照葫芦画瓢,在下面增加一行
root ALL=(ALL) ALL
xy ALL=(ALL) ALL
当xy用户使用sudo执行的时候,就可以像root那样为所欲为了。
2,根据用户组及无密码的配置:
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
跟第一种配置方式相比,也就在前面多了一个“%”,用来表示用户组。最前面的“#”表示注释, 把"#"去掉即可生效; 而后面的"NOPASSWD:"即表示不需要输入密码就可以执行命令
设置了某个用户组具有sudo权限之后,只需要使用usermod命令把相应的用户添加到该用户组就可以了:
usermod -a -G wheel xyuser
3,有限制的命令操作:
%users ALL=(root) /usr/bin/passwd
允许users用户组的用户以root权限修改其他用户的密码。
%users ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4,通过别名问题来设置,有命令别名,账户别名,主机别名等,具体参考sudoers文件提供的例子:
## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using
## wildcards for entire domains) or IP addresses instead.
# Host_Alias FILESERVERS = fs1, fs2
# Host_Alias MAILSERVERS = smtp, smtp2
## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
## Command Aliases
## These are groups of related commands...
## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
5,在sudoers文件的最后面有如下几行,利用include引入/etc/sudoers.d目录下的配置文件,
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
sudo与su的联合使用
当使用第1种方式赋予普通用户sudo权限之后,用户是可以通过“sudo su-”或者“sudo su root”命令输入自己的密码而切换为root用户的,这在一定程度上来说也是很危险的,最好是禁止sudo与su联用的;而对于一些系统管理员账号来说,会需要用到root权限执行大量命令,老是用sudo也是挺麻烦,至少没有直接切换回root用户来的方便,又是需要保留sudo与su联用的
最好的解决方式自然是在给普通用户分配sudo特权的时候,利用别名,有限制的命令操作等,尽量合理的给账户分配权限,比如如下模式:
root ALL=(ALL) ALL
# 利用账户别名功能创建一个别名NORMAL, 之后把只需要赋予部分root特权的账户都往里添加
User_Alias NORMAL = xy, user1, user2, user3
# 分配权限
NORMAL ALL=(ALL) ALL, !/bin/su, !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
- 还没有人评论,欢迎说说您的想法!
客服
