sudo简单应用

时间：2018-01-16 18:06:41 阅读：118 评论：0 收藏：0 [点我收藏+]

标签：echo work 创建 code hosts deny 安全哪些系统管理员

sudo
来自sudo包
man 5 sudoers
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo，会提示联系管理员
sudo可以提供日志，记录每个用户使用sudo操作
sudo为系统管理员提供配置文件，允许系统管理员集中地管理用户的使用权限和使用的主机
通过visudo命令编辑配置文件，具有语法检查功能
visudo –c 检查语法
例：授权给xad用户创建光盘的权限
1、vim /etc/sudoers（不安全）
【授权规则格式：用户登入主机=(代表用户) 命令】
root ALL=(ALL) ALL 【大概在92行】
wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom
（wang用户在任何主机上 = 代表root 执行mount 把光盘sr0 挂载到cdrom , 执行umount 卸载cdrom）
2、visudo （=vi /etc/sudoers）（不安全）
有语法检索功能
vim /etc/profile.d/env.sh
export EDITOR=vim
设置其默认用vim打开
3、cd /etc/sudoers.d（安全）
vim wang（权限440）
wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom
格式说明：
user: 运行命令者的身份
host: 通过哪些主机
(runas)：以哪个用户的身份
command: 运行哪些命令
别名：
user_alias
runas_alias
host_alias
Cmnd_Alias
客户端Client_list格式：
以逗号或空格分隔的客户端列表
基于IP地址：192.168.10.1 192.168.1.
基于主机名：www.magedu.com .magedu.com 较少用
基于网络/掩码：192.168.0.0/255.255.255.0
基于net/prefixlen: 192.168.1.0/24（CentOS7）
基于网络组（NIS 域）：@mynetwork
内置ACL：ALL，LOCAL，KNOWN，UNKNOWN，PARANOID
拒绝其他主机通过sshd访问该主机（多种方式：in.telnetd,sshd）：
vim /etc/hosts.deny（拒绝文件）或 /etc/hosts.allow（允许文件）（以allow优先）
--> 在下面加sshd:n.n.n.n
（centos7 --> n.n.n.n/m 或 n.n.n.n/m.m.m.m 或 n.n.等；
cenots6 --> n.n.n.n/m.m.m.m）
拒绝所有访问本主机的IP：
vim /etc/hosts.deny
--> ALL@172.18.101.57(本机IP)：ALL
双重否定、多重否定：
sshd:172.18. EXCEPT 172.18.101. EXCEPT 172.18.101.57
拒绝172.18.x.x网段，允许172.18.101.x网段，拒绝172.18.101.57
（注意本字段是写在allow允许中，还是写在deny拒绝中）
在有客户端访问时，执行命令：
sshd:172.18.102.57:spawn echo date +%%F +%%T client\: %c user\: %u login on server\:%s > /app/tcpwrapper.log

sudo简单应用

标签：echo work 创建 code hosts deny 安全哪些系统管理员

原文地址：http://blog.51cto.com/13489177/2061666

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行