标签:Linux 系统配置
限制用户sudo所能执行的命令linux是多用户多任务的分时操作系统,共享该系统的用户往往不只一个。
但由于root账户密码的敏感性和root账号的无限制权限, 有必要通过useradd创建一些普通用户, 只让他们拥有不完全的权限; 如有必要,再来申请执行一些root权限的指令。
sudo就是来解决这个需求的。
sudo命令的执行流程是: 当前用户转换到root, 然后以root身份执行命令, 执行完成后, 直接退回到当前用户.
需要注意的是: 执行sudo时输入的密码, 是当前用户的密码, 并非root密码.
赋予用户sudo操作的权限
[root@zhang ~]# visudo
#在99行下面添加以下内容
zhang ALL=(ALL) ALL
#如果是命令使用下面的方式:zhang ALL=(ALL) /bin/touch(多个权限用“,”分开,ALL所有权限,NOPASSWD: ALL免密码)
注:
一般常用sudo命令来临时获得root权限执行一些特权命令。这很方便,但是也有一个问题: 普通用户可以通过sudo命令完成用户的增删和密码的更改,甚至是对root用户的密码更改!!!
如:
xxx@yyy$:sudo passwd root
Input the new UNIX pass word:
这样就可以直接越过root直接修改root的密码。这是非常危险的。
1、 groupadd admin 创建一个admin用户组,后边在设置权限时会用到
2、usermod -a -G admin [用户] 将用户添加到admin组
3、在这里可以通过 /etc/sudoers 文件限制
$:sudo visudo
注意,这命令在最后修改sudoers文件中,也要加以限制,否则还可以通过这个命令恢复。
在这个文件中修改默认的以下两行:
%admin ALL=(ALL) ALL
%sudo ALL=(ALL) ALL
为以下:
%admin ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
%sudo ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
标签:Linux 系统配置
原文地址:http://blog.51cto.com/13069301/2096011