标签:sudo、权限管理
sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。
sudo的配置文件/etc/sudoers,其格式如下:
root ALL=(ALL) ALL #root用户可以在任何地方,以任何人的身份,执行任何命令 users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom #users用户组在主机上能够以管理员的身份挂载和卸载
sudoers支持使用别名对同类对象进行分组:组名必须使用全大写字母
Host_Alias 在哪些主机
User_Alias 哪些用户
Runas_Alias 用哪些身份
Cmnd_Alias 用哪些命令
sudo授权用户:
$ sudo -l 可以查看自己被使用sudoers赋予的权限
$ sudo COMMAND 使用命令
语法
sudo [-bhHpV][-s ][-u <用户>][指令]或 sudo [-klv]
参数
-b 在后台执行指令。
-h 显示帮助。
-H 将HOME环境变量设为新身份的HOME环境变量。
-k 结束密码的有效期限,也就是下次再执行sudo时便需要输入密码。
-l 列出目前用户可执行与无法执行的指令。
-p 改变询问密码的提示符号。
-s 执行指定的shell。
-u <用户> 以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份。
-v 延长密码有效期限5分钟。
-V 显示版本信息。
-S 从标准输入流替代终端来获取密码
例:
1、让Tom用户能在所有主机上以管理员的身份执行useradd命令,来添加Jerry用户
在root用户
# which useradd /usr/sbin/useradd # passwd Tom passed:Tom # visudo Tom ALL=(root) /usr/sbin/useradd
重开一个终端,用Tom用户登录
$ sudo -l作为一个不同用户,可以使用这个命令来查看能够以其它用户的身份使用的命令 [sudo] password for Tom: User Tom may run the following commands on this host: (root) /usr/sbin/useradd $ sudo /usr/sbin/useradd Jerry $ tail /etc/passwd Tom:x:501:501::/home/Tom:/bin/bash Jerry:x:502:502::/home/Jerry:/bin/bash
到前一个终端,是root用户
# tail /var/log/secure #查看日志文件,这个文件只有root用户才有权限 Mar 28 10:34:11 sange sudo: Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=list Mar 28 10:34:15 sange sudo: Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=/usr/sbin/useradd Jerry Mar 28 10:34:15 sange useradd[11625]:new group:name=Jerry,GID=502 Mar 28 10:34:15 sange useradd[11625]:new user:name=Jerry,UID=502,GID=502,home=/home/Jerry,shell=/bin/bash
2、添加useradmins这个用户组,使Tom和Jerry都能使用管理命令
# groupadd useradmins # usermod -a -G useradmins Tom # usermod -a -G useradmins Jerry # passwd Jerry passwd:Jerry
再开一个终端,用Jerry用户登录
$ sudo -l [sudo] password for Jerry: Jerry #现在Jerry没有权限 Sorry,user Jerry may not run sudo on sange. $ sudo /usr/sbin/useradd user1 [sudo] password for Jerry: Jerry Jerry is not in the sudoers file. This incident will be reported
所以到root终端
# tail /var/log/secure Mar 28 10:51:18 sange sudo: Jerry : command not allowed ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=list Mar 28 10:51:47 sange sudo: Jerry : user NOT in sudoers ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=/usr/sbin/useradd user1 You have new mail in /var/spool/mail/root
如果每一个单独授权太麻烦了,但是我们希望一下就让这多个用户都同时具有这样的权限,
# visudo Tom ALL=(root) /usr/sbin/useradd --> %useradminsALL=(root) /usr/sbin/useradd
到Jerry终端
$ sudo -l [sudo] password for Jerry: User Jerry may run the following commands on this host: (root) /usr/sbin/useradd
到Tom终端
$ sudo -l [sudo] password for Tom: Sorry,user Tom may not run sudo on sange. #不太清楚什么原因,再开一个终端就好了
重新打开一个终端,用Tom用户登录
$ sudo -l [sudo] password for Tom: User Tom may run the following commands on this host: (root) /usr/sbin/useradd
3、使用命令别名
在root用户
# visudo Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel %useradmins ALL=(root) USERADMIN
到刚刚打开的Tom终端
$ sudo -l User Tom may run the following commands on this host: (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
到Jerry终端
$ sudo -l [sudo] password for Jerry: User Jerry may run the following commands on this host: (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel $ sudo /usr/sbin/userdel user3
4、用户别名
在root终端
# useradd Admin # passed Admin passwd: Admin # visudo Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel User_Alias USERADMINS = Tom,Jerry,Admin USERADMINS ALL=(root) USERADMINCMNDS
到Tom终端
$ sudo -l User Tom may run the following commands on this host: (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
到Jerry终端
$ sudo -l [sudo] password for Jerry: Jerry User Jerry may run the following commands on this host: (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
到Admin终端
$ sudo -l [sudo] password for Admin: Admin User Jerry may run the following commands on this host: (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
5、主机别名
到root终端
# visudo Host_Alias USERHOSTS = 192.168.0.0/24 #这一网段都可以用
6、标签
如何在命令的后面添加passwd
在root终端
# visudo Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd
改完之后,使用sudoers定义的用户就可以改任何人的密码,连管理员的密码都可以修改,太危险了。所以在后面要添加一些内容
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd [a-zA-Z0-9]*, !/usr/bin/passwd root
这样其它用户就不能修改root的密码
到Tom终端
$ sudo /usr/bin/passwd Jerry Changing passwd for user Jerry. New passed: Retype new passwd: passwd: all authentication tokens updated successfully. [Tom@sange ~]$ sudo /usr/bin/passwd root Sorry,user Tom is not allowed to execute ‘/usr/bin/passwd root‘ as root on sange.com.
本文出自 “三哥” 博客,请务必保留此出处http://523958392.blog.51cto.com/9871195/1628145
标签:sudo、权限管理
原文地址:http://523958392.blog.51cto.com/9871195/1628145