码迷,mamicode.com
首页 > 其他好文 > 详细

sudo

时间:2016-10-05 01:17:03      阅读:163      评论:0      收藏:0      [点我收藏+]

标签:sudo

起因:

    linux中root拥有最高权限,有时候我们希望把部分权限授予给某个用户,这个时候我们可以设置类似于passwd命令,设置suid,然后结合组权限进行管理,但是这种方法没有办法控制一些后面跟参数的命令,比如我们希望用户都可以执行ifup eth0但是无法执行ifup eth1,而且这种方法也不安全,比如当我们临时有事离开而忘了关电脑,此时又登录某个用户,这个时候如果有人利用这个用户执行一些危险操作,我们无法防范也无从追责,这个时候sudo就派上用场了。

su(switch user ):切换用户身份

suid:当使用设置了suid权限的命令的时候,进程属主为命令本身属主,而不是当前启用命令用户身份

sudo(switch user do COMMAND):某个用户能够以某个用户的身份在某主机执行某条命令

    这里的某主机指的是通过某主机连接到本地服务器执行命令,而不是在那台主机上执行命令,跟ssh 不一样,当执行sudo命令的时候需要输入自身命令,sudo以此鉴定用户身份,并写入日志作为日后追责的依据。


sudo的配置文件:/etc/sudoers  可以利用visudo进行编辑,这个命令可以鉴别sudoers的语法格式错误,类似crontab -e,帮助文档:man 5 sudoers


一个sudo条目:

who which_host=(runas)  [TAG:]command


TAG可有可无,比较常见的有:NOPASSWD,表示不需要密码登录,其他比较少用不深究


who的可选格式如下:

    User ::= ’!’* user name |

              ’!’* #uid |

              ’!’* %group |

              ’!’* %#gid |

              ’!’* +netgroup |

              ’!’* %:nonunix_group |

              ’!’* %:#nonunix_gid |

              ’!’* User_Alias

!表示取反,用户可以直接接用户名,也可以#跟uid,或者%跟组名, ::=和* |只是帮助文档的格式,没有特殊意义


which_host:

Host ::= ’!’* host name |

              ’!’* ip_addr |

              ’!’* network(/netmask)? |

              ’!’* +netgroup |

              ’!’* Host_Alias

 

runas: 

Runas_Member ::= ’!’* user name |

                      ’!’* #uid |

                      ’!’* %group |

                      ’!’* %#gid |

                      ’!’* %:nonunix_group |

                      ’!’* %:#nonunix_gid |

                      ’!’* +netgroup |

                      ’!’* Runas_Alia


command:

Cmnd ::= ’!’* command name |

              ’!’* directory |

              ’!’* "sudoedit" |

              ’!’* Cmnd_Alias


每个部分都可以做成别名,别名必须全部而且只能使用大写英文字母的组合,别名必须事先定义,而且别名也可以引用别人事先定义好的别名。

别名引用:直接输入别名即可


别名格式:  关键字 别名  =  用户 (多个用户之间用,隔开,定义多个别名用:\换行分开)例如:

User_Alias      FULLTIMERS = millert, mikef, dowdy

Runas_Alias     OP = root, operator

Host_Alias      SPARC = bigtime, eclipse, moet, anchor :\

                     SGI = grolsch, dandelion, black :\

                     ALPHA = widget, thalamus, foobar :\

                     HPPA = boa, nag, python

Cmnd_Alias      SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh,\(写不下的时候用\续行)

                              /usr/local/bin/tcsh, /usr/bin/rsh,\

                              /usr/local/bin/zsh

 

sudo命令:

-l:列出当前用户可以使用的所有sudo类命令

-k:让认证信息失效(sudo的时候,输入密码默认有5分钟的过期时间,在这个时间内,不再需要输入密码)


一个例子:给用户tom 授予useradd权限

答: visudo 添加 tom  ALL=(ALL)  /usr/sbin/useradd(这里命令要写完整路径,否则报错)

特殊例子:给用户tom授予passwd权限

答:visudo添加 tom  ALL=(root) /usr/bin/passwd

看起来没有问题,但是这里有个严重漏洞,当tom执行passwd并且后面不接用户名的时候,因为sudo是以用户root身份执行的,所以会修改root的密码,这个时候我们可以改写成visudo添加 

tom             ALL=(root)      /usr/bin/passwd [a-zA-Z]* ! /usr/bin/passwd root

注:这里的 [a-zA-Z]*是文件名匹配规则,因为你不加! /usr/bin/passwd root是无法单独执行passwd的,正则表达式则可以。




sudo

标签:sudo

原文地址:http://linzb.blog.51cto.com/5192423/1858696

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!