分类: BSD
2008-03-20 16:52:55
下面来安装并使用sudo吧!!
1)安装sudo(两种安装方法):
a: 从 ports 安装(推荐)
#cd /usr/ports/security/sudo
#make install clean
b: 通过 package 安装
#pkg_add -r sudo
2)配置sudo
sudo的配置文件在/usr/local/etc/sudoers里面。sudo的配置文件不应直接编辑,而应使用 visudo 来进行修改。
下面是配置sudo的简单方法:
M-gtuiw ALL=(ALL) ALL
指定了M-gtuiw可以使用整个系统的全部权限。
%wheel ALL=(ALL) ALL
这个命令指定了wheel这个组的所有者可以使用全部的权限。
3)设置密码在一段时间后自动退出
Defaults:M-gtuiw timestamp_timeout=0, runaspw, passwd_tries=1
记住: 在 Defaults:M-gtuiw 这个地方不允许有空格出现。下同:
这段句子有三个功能:
1)M-gtuiw需要的密才能码运行sudo(句子中runaspw的缘故)。
2)这密码没有被系统记住(因为有timestamp_timeout=0的缘故),用了一次的sudo之后当再次输入的时候又得输入root密码。
如果将timastamp_timeout改为-1话,M-gtuiw只须去验证一次密码,之后将记住了M-gtuiw输入的密码,当第二次,第三次
使用sudo的时候都不用输入root密码了直到退出登录后。
当然,其它的用户也可以这样,但须要不同的帐户和缺省值。在这里我们只改变M-gtuiw和增加一个新的用户“limda”:
Defaults:M-gtuiw timestamp_timeout=0
Defaults:limda timestamp_timeout=-1, runaspw
#user privilege specification
root ALL=(ALL) ALL
M-gtuiw ALL=(ALL) ALL
limda ALL=(ALL) ALL
M-gtuiw和limda拥有不同的缺省值。“Defaults”影响着每个用户使用sudo不同的权限。
4)sudo默认使用系统的 /var/log/messages 进行日志;除此之外,也可以采用另外的日志,以便于进行审计。
Defaults logfile=/var/log/sudolog
记住,在上面没有 : 啊。
5) 限制sudo使用危险的命令:
M-gtuiw ALL=/bin/kill, /usr/sbin/
这里说明M-gtuiw用户只可以使用/bin/kill, /usr/sbin/里面的命令。
M-gtuiw lnserve=(paul, limda) /bin/kill, /usr/sbin/
说明了M-gtuiw可用paul和limda相等同的命令和额外可以使用/bin/kill和/usr/sbin里面的命令。
这是我在sudo的网页里出来的一些简单文本,本人的英文不是很好,翻译的不是很好,欢迎各位前来修订
