标签:sudo
起因:
linux中root拥有最高权限,有时候我们希望把部分权限授予给某个用户,这个时候我们可以设置类似于passwd命令,设置suid,然后结合组权限进行管理,但是这种方法没有办法控制一些后面跟参数的命令,比如我们希望用户都可以执行ifup eth0但是无法执行ifup eth1,而且这种方法也不安全,比如当我们临时有事离开而忘了关电脑,此时又登录某个用户,这个时候如果有人利用这个用户执行一些危险操作,我们无法防范也无从追责,这个时候sudo就派上用场了。
su(switch user ):切换用户身份
suid:当使用设置了suid权限的命令的时候,进程属主为命令本身属主,而不是当前启用命令用户身份
sudo(switch user do COMMAND):某个用户能够以某个用户的身份在某主机执行某条命令
这里的某主机指的是通过某主机连接到本地服务器执行命令,而不是在那台主机上执行命令,跟ssh 不一样,当执行sudo命令的时候需要输入自身命令,sudo以此鉴定用户身份,并写入日志作为日后追责的依据。
sudo的配置文件:/etc/sudoers 可以利用visudo进行编辑,这个命令可以鉴别sudoers的语法格式错误,类似crontab -e,帮助文档:man 5 sudoers
一个sudo条目:
who which_host=(runas) [TAG:]command
TAG可有可无,比较常见的有:NOPASSWD,表示不需要密码登录,其他比较少用不深究
who的可选格式如下:
User ::= ’!’* user name |
’!’* #uid |
’!’* %group |
’!’* %#gid |
’!’* +netgroup |
’!’* %:nonunix_group |
’!’* %:#nonunix_gid |
’!’* User_Alias
!表示取反,用户可以直接接用户名,也可以#跟uid,或者%跟组名, ::=和* |只是帮助文档的格式,没有特殊意义
which_host:
Host ::= ’!’* host name |
’!’* ip_addr |
’!’* network(/netmask)? |
’!’* +netgroup |
’!’* Host_Alias
runas:
Runas_Member ::= ’!’* user name |
’!’* #uid |
’!’* %group |
’!’* %#gid |
’!’* %:nonunix_group |
’!’* %:#nonunix_gid |
’!’* +netgroup |
’!’* Runas_Alia
command:
Cmnd ::= ’!’* command name |
’!’* directory |
’!’* "sudoedit" |
’!’* Cmnd_Alias
每个部分都可以做成别名,别名必须全部而且只能使用大写英文字母的组合,别名必须事先定义,而且别名也可以引用别人事先定义好的别名。
别名引用:直接输入别名即可
别名格式: 关键字 别名 = 用户 (多个用户之间用,隔开,定义多个别名用:\换行分开)例如:
User_Alias FULLTIMERS = millert, mikef, dowdy
Runas_Alias OP = root, operator
Host_Alias SPARC = bigtime, eclipse, moet, anchor :\
SGI = grolsch, dandelion, black :\
ALPHA = widget, thalamus, foobar :\
HPPA = boa, nag, python
Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh,\(写不下的时候用\续行)
/usr/local/bin/tcsh, /usr/bin/rsh,\
/usr/local/bin/zsh
sudo命令:
-l:列出当前用户可以使用的所有sudo类命令
-k:让认证信息失效(sudo的时候,输入密码默认有5分钟的过期时间,在这个时间内,不再需要输入密码)
一个例子:给用户tom 授予useradd权限
答: visudo 添加 tom ALL=(ALL) /usr/sbin/useradd(这里命令要写完整路径,否则报错)
特殊例子:给用户tom授予passwd权限
答:visudo添加 tom ALL=(root) /usr/bin/passwd
看起来没有问题,但是这里有个严重漏洞,当tom执行passwd并且后面不接用户名的时候,因为sudo是以用户root身份执行的,所以会修改root的密码,这个时候我们可以改写成visudo添加
tom ALL=(root) /usr/bin/passwd [a-zA-Z]* ! /usr/bin/passwd root
注:这里的 [a-zA-Z]*是文件名匹配规则,因为你不加! /usr/bin/passwd root是无法单独执行passwd的,正则表达式则可以。
标签:sudo
原文地址:http://linzb.blog.51cto.com/5192423/1858696