标签:sudo
sudo COMMAND
su
suid:
定义某个用户能够以另外哪一个用户的身份通过哪个主机执行某命令
sudo的配置文件 /etc/sudoers
visudo:默认是编辑/etc/suduers
-f 可以指定另外一个文件
一个sudo条目:
哪个用户 ,在哪个主机上,以什么身份, 执行什么命令
who which_hosts=(runas)command
who:User_Alias
which_hosts:Host_Alias
runas:Runas_Alias
command:Cmnd_Alias
别名:类似定义的组,只能使用大写英文字母的组合
用户别名:
User_AliasUSERADMIN=
用户的用户名
组名,使用%引导
还可以包含其他已经定义好的用户别名
Host_Alias
主机名
ip
网络地址
其他主机别名
Runas_Alias:
用户名
%组名
其他的Runas别名
Cmnd_Alias
命令路径
目录(此目录内的所有别名)
其他事先定义过的命令别名
[root@mylinux ~]#su - user1
[user1@mylinux ~]$/user/sbin/useradd user2
-bash:/user/sbin/useradd: 没有那个文件或目录
[user1@mylinux ~]$sudo /user/sbin/useradd user2
We trust you havereceived the usual lecture from the local System
Administrator. Itusually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes greatresponsibility.
[sudo] passwordfor user1:
user1 不在 sudoers 文件中。此事将被报告。
定义:
visudo #vi/etc/sudoers
在最后加一条别名
user1 ALL=(root) /usr/sbin/useradd ,/usr/sbin/userdel
[user1@mylinux ~]$sudo useradd user10
[sudo] passwordfor user1:
[user1@mylinux ~]$id user10
uid=502(user10)gid=503(user10) 组=503(user10)
[user1@mylinux ~]$sudo userdel user10
[user1@mylinux ~]$id user10
id: user10:无此用户
默认第一次输入密码以后 5分钟内不用再次输入密码
sudo –k 锁定,让认证信息失效
sudo –l 列出当前用户 所有sudo的命令
sudo –c
NOPASSWD: 不用密码认证
user1 ALL=(root) NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/userdel
定义一个用户管理类命令 %后面跟组名
User_Alias USERADMIN= user1,%user1,%useradmin 定义的组合用户名
Cmnd_AliasUSERADMINCMND = /usr/sbin/useradd ,
/usr/sbin/userdel,/usr/bin/passwd[A-Za-z]*, !/usr/bin/passwd root 定义需要的所有命令,passwd一定不能让sudo可以修改root密码.
USERADMIN ALL=(root) NOPASSWD:USERADMINCMND
sudo的操作都会被记录到/var/log/secure文件中
本文出自 “linux运维” 博客,谢绝转载!
标签:sudo
原文地址:http://coolcl.blog.51cto.com/4514424/1795615
