码迷,mamicode.com
首页 > 其他好文 > 详细

sudo的初步使用

时间:2015-04-04 01:23:49      阅读:171      评论:0      收藏:0      [点我收藏+]

标签:sudo、权限管理

sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。

sudo的配置文件/etc/sudoers,其格式如下:

root ALL=(ALL) ALL     #root用户可以在任何地方,以任何人的身份,执行任何命令
users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom	#users用户组在主机上能够以管理员的身份挂载和卸载

sudoers支持使用别名对同类对象进行分组:组名必须使用全大写字母

Host_Alias 在哪些主机

User_Alias 哪些用户

Runas_Alias 用哪些身份

Cmnd_Alias 用哪些命令


sudo授权用户:

$ sudo -l 可以查看自己被使用sudoers赋予的权限

$ sudo COMMAND 使用命令


语法

sudo [-bhHpV][-s ][-u <用户>][指令]或
sudo [-klv]

参数

  -b  在后台执行指令。

  -h  显示帮助。

  -H  将HOME环境变量设为新身份的HOME环境变量。

  -k  结束密码的有效期限,也就是下次再执行sudo时便需要输入密码。

  -l  列出目前用户可执行与无法执行的指令。

  -p  改变询问密码的提示符号。

  -s  执行指定的shell。

  -u <用户>  以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份。

  -v  延长密码有效期限5分钟。

  -V  显示版本信息。

        -S   从标准输入流替代终端来获取密码


例:

1、让Tom用户能在所有主机上以管理员的身份执行useradd命令,来添加Jerry用户

在root用户

# which useradd
/usr/sbin/useradd
# passwd Tom
passed:Tom
# visudo
Tom     ALL=(root)      /usr/sbin/useradd

重开一个终端,用Tom用户登录

$ sudo -l作为一个不同用户,可以使用这个命令来查看能够以其它用户的身份使用的命令
[sudo] password for Tom:
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd
$ sudo /usr/sbin/useradd Jerry
$ tail /etc/passwd
Tom:x:501:501::/home/Tom:/bin/bash
Jerry:x:502:502::/home/Jerry:/bin/bash

到前一个终端,是root用户

# tail /var/log/secure        #查看日志文件,这个文件只有root用户才有权限
Mar 28 10:34:11 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=list
Mar 28 10:34:15 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=/usr/sbin/useradd Jerry
Mar 28 10:34:15 sange useradd[11625]:new group:name=Jerry,GID=502
Mar 28 10:34:15 sange useradd[11625]:new user:name=Jerry,UID=502,GID=502,home=/home/Jerry,shell=/bin/bash

2、添加useradmins这个用户组,使Tom和Jerry都能使用管理命令

# groupadd useradmins
# usermod -a -G useradmins Tom
# usermod -a -G useradmins Jerry
# passwd Jerry
passwd:Jerry

再开一个终端,用Jerry用户登录

$ sudo -l
[sudo] password for Jerry: Jerry        #现在Jerry没有权限
Sorry,user Jerry may not run sudo on sange.
$ sudo /usr/sbin/useradd user1
[sudo] password for Jerry: Jerry
Jerry is not in the sudoers file. This incident will be reported

所以到root终端

# tail /var/log/secure
Mar 28 10:51:18 sange sudo:    Jerry : command not allowed ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=list
Mar 28 10:51:47 sange sudo:    Jerry : user NOT in sudoers ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=/usr/sbin/useradd user1
You have new mail in /var/spool/mail/root

如果每一个单独授权太麻烦了,但是我们希望一下就让这多个用户都同时具有这样的权限,

# visudo
Tom     ALL=(root)      /usr/sbin/useradd  -->  %useradminsALL=(root)      /usr/sbin/useradd

到Jerry终端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd

到Tom终端

$ sudo -l
[sudo] password for Tom: 
Sorry,user Tom may not run sudo on sange.        #不太清楚什么原因,再开一个终端就好了

重新打开一个终端,用Tom用户登录

$ sudo -l
[sudo] password for Tom:
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd

3、使用命令别名

在root用户

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
%useradmins     ALL=(root)      USERADMIN

到刚刚打开的Tom终端

$ sudo -l
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry终端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
$ sudo /usr/sbin/userdel user3

4、用户别名

在root终端

# useradd Admin
# passed Admin
passwd: Admin
# visudo
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
User_Alias USERADMINS = Tom,Jerry,Admin
USERADMINS      ALL=(root)      USERADMINCMNDS

到Tom终端

$ sudo -l
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry终端

$ sudo -l
[sudo] password for Jerry: Jerry
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Admin终端

$ sudo -l
[sudo] password for Admin: Admin
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

5、主机别名

到root终端

# visudo
Host_Alias USERHOSTS = 192.168.0.0/24        #这一网段都可以用

6、标签

如何在命令的后面添加passwd

在root终端

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd

改完之后,使用sudoers定义的用户就可以改任何人的密码,连管理员的密码都可以修改,太危险了。所以在后面要添加一些内容

Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd [a-zA-Z0-9]*, !/usr/bin/passwd root

这样其它用户就不能修改root的密码

到Tom终端

$ sudo /usr/bin/passwd Jerry
Changing passwd for user Jerry.
New passed:
Retype new passwd:
passwd: all authentication tokens updated successfully.
[Tom@sange ~]$ sudo /usr/bin/passwd root
Sorry,user Tom is not allowed to execute ‘/usr/bin/passwd root‘ as root on sange.com.


本文出自 “三哥” 博客,请务必保留此出处http://523958392.blog.51cto.com/9871195/1628145

sudo的初步使用

标签:sudo、权限管理

原文地址:http://523958392.blog.51cto.com/9871195/1628145

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!