sudo 管理-大镇-ChinaUnix博客

大镇的博客

首页　| 　博文目录　| 　关于我

大镇

博客访问： 2225461
博文数量： 287
博客积分： 0
博客等级：民兵
技术积分： 2130
用户组：普通用户
注册时间： 2014-03-31 14:30

个人简介

自己慢慢积累。

文章分类

全部博文（287）

js（1）
docker（1）
excel（1）
Bootstrap（3）
Django（21）
性能测试（1）
移动端测试（3）
python（64）

数据分析（2）

tkinter（3）
selenium（19）
分布式数据库（1）
WINDOWS（5）
TokuDB（7）
TokuDB（3）
安全测试（4）
JMeter（10）
oracle（2）
goldengate（10）
测试理论（2）
mysql（71）

数据恢复（2）

mysql学习（3）

MYSQL优化（14）

mysql管理（10）

高可用（4）

数据导出（3）

性能测试（2）

表分区（4）

触发器（0）

一机多Mysql（3）

查询技巧（7）

主从互备（9）
linux（58）

定时任务（2）

环境相关（4）

FTP（1）

linux管理（4）

keepalived（3）

awk（3）

磁盘性能（1）

shell编程（25）

虚拟机（2）

磁盘挂载（11）
未分配的博文（0）

相关博文

sudo 管理

分类： LINUX

2015-06-09 16:38:04

编辑sudo的配置文件/etc/sudoers是一般不要直接使用vi（vi /etc/sjudoers）去编辑，因为sudoers配置有一定的语法，直接用vi编辑保存系统不会检查语法，如有错也保存了可能导致无法使用sudo工具，最好使用visudo命令去配置。虽然visudo也是调用vi去编辑，但是保存时会进行语法检查，有错会有提示。

Sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的。它所存放的位置默认是在/etc/sudoers，属性必须为0440。

sudo -l 列出目前的权限

我们用一个实例来详细解释/etc/sudoers文件的配置语法，请看下面的例子：

　　jorge ALL=(root) /usr/bin/find, /bin/rm

　　上面的第一栏规定它的适用对象：用户或组，就本例来说，它是用户jorge。此外，因为系统中的组和用户可以重名，要想指定该规则的适用对象是组而非用户的话，组对象的名称一定要用%开头。

　　第二栏指定该规则的适用。当我们在多个系统之间部署sudo环境时，这一栏格外有用，这里的ALL代表所有。但是，对于桌面系统或不想将sudo部署到多个系统的情况，这一栏就换成相应的。

　　第三栏的值放在括号内，指出第一栏规定的用户能够以何种身份来执行命令。本例中该值设为root，这意味着用户jorge能够以root用户的身份来运行后面列出的命令。该值也可以设成ALL，jorge便能作为系统中的任何用户来执行列出的命令了。

　　最后一栏（即/usr/bin/find,/bin/rm）是使用逗号分开的命令表，这些命令能被第一栏规定的用户以第三栏指出的身份来运行它们。本例中，该配置允许jorge作为运行/usr/bin/find和 /bin/rm这两个命令。需要指出的是，这里列出的命令一定要使用绝对路径。

　　进一步：

　　我们可以利用这些规则为系统创建具体的角色。例如，要让一个组负责帐户管理，你一方面不想让这些用户具备完全的root访问权限，另一方面还得让他们具有增加和删除用户的权利，那么我们可以在系统上创建一个名为accounts的组，然后把那些用户添加到这个组里。之后，再使用visudo为/etc/sudoers添加下列内容： %accounts ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel, /usr/sbin/

　　现在好了，accounts组中的任何成员都能运行useradd、userdel和命令了。如果过一段时间后，您发现该角色还需要其他工具，只要在该表的尾部将其添上就行了。这样真是方便极了！

　　需要注意的是，当我们为用户定义可以运行的命令时，必须使用完整的命令路径。这样做是完全出于安全的考虑，如果我们给出的命令只是简单的userad而非/usr/sbin/useradd，那么用户有可能创建一个他自己的，也叫做useradd，然后放在它的本地路径中，如此一来他就能够通过这个名为useradd的本地，作为root来执行任何他想要的命令了。这是相当危险的！

　　sudo命令的另一个便捷的功能，是它能够指出哪些命令在执行时不需要输入密码。这很有用，尤其是在非交互式脚本中以的身份来运行某些命令的时候。例如，想要让用户作为不必输入密码就能执行kill命令，以便用户能立刻杀死一个失控的进程。为此，在命令行前边加上NOPASSWD:属性即可。例如，可以在/etc/sudoers文件中加上下面一行，从而让jorge获得这种权力： jorge ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall

　　这样一来，jorge就能运行以下命令，作为root用户来杀死失控的rm进程了。 jorge@ubuntu:~$ sudo killall rm

每项解释
[root@localhost ~]# cat /etc/sudoers

　　# sudoers file.

　　# This file MUST be edited with the 'visudo' command as root.

　　# See the sudoers man page for the details on how to write a sudoers file.

　　# Host alias specification

　　# User alias specification

　　# Cmnd alias specification

　　# Defaults specification

　　# Runas alias specification

　　# User privilege specification

　　root ALL=(ALL) ALL

　　# Uncomment to allow people in group wheel to run all commands

　　# %wheel ALL=(ALL) ALL

　　# Same thing without a password

　　# %wheel ALL=(ALL) NOPASSWD: ALL

　　# Samples

　　# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom

　　# %users localhost=/sbin/shutdown -h now

　　[root@localhost ~]#

　　可以用visudo编辑sudoers配置文件，不过也可以直接通过修改sudoers文件实现，不过编辑之前最好看一下它的sample.sudoers文件，里面有一个相当详细的例子可以参考。

　　#第一部分：用户定义，将用户分为FULLTIMERS、PARTTIMERS和WEBMASTERS三类。

　　User_Alias FULLTIMERS = millert, mikef, dowdy

　　User_Alias PARTTIMERS = bostley, jwfox, crawl

　　User_Alias WEBMASTERS = will, wendy, wim

　　#第二部分，将操作类型分类。

　　Runas_Alias OP = root, operator

　　Runas_Alias DB = oracle, sybase

　　#第三部分，将分类。这些都是随便分得，目的是为了更好地管理。

　　Host_Alias SPARC = bigtime, eclipse, moet, anchor :\

　　SGI = grolsch, dandelion, black :\

　　ALPHA = widget, thalamus, foobar :\

　　 = boa, nag, python

　　Host_Alias CUNETS = 128.138.0.0/255.255.0.0

　　Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0

　　Host_Alias SERVERS = master, mail, www, ns

　　Host_Alias CDROM = orion, perseus, hercules

　　#第四部分，定义命令和命令地路径。命令一定要使用，避免其他目录的同名命令被执行，造成安全隐患 ,因此使用的时候也是使用!

　　Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\

　　/usr/sbin/restore, /usr/sbin/rrestore

　　Cmnd_Alias KILL = /usr/bin/kill

　　Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/

　　Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown

　　Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt

　　Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot

　　Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \

　　/usr/local/bin/tcsh, /usr/bin/rsh, \

　　/usr/local/bin/zsh

　　Cmnd_Alias SU = /usr/bin/su

　　# 这里是针对不同的用户采用不同地策略，比如默认所有的syslog直接通过auth 输出。FULLTIMERS组不用看到lecture（第一次运行时产生的消息）；用户millert使用sudo时不用输入密码；以及logfile的路径在/var/log/sudo.log而且每一行日志中必须包括年。

　　Defaults syslog=auth

　　Defaults:FULLTIMERS !lecture

　　Defaults:millert !authenticate

　　Defaults@SERVERS log_year, logfile=/var/log/sudo.log

　　#root和wheel组的成员拥有任何权利。如果想对一组用户进行定义，可以在组名前加上%，对其进行设置.

　　root ALL = (ALL) ALL

　　%wheel ALL = (ALL) ALL

　　#FULLTIMERS可以运行任何命令在任何主机而不用输入自己的密码

　　FULLTIMERS ALL = NOPASSWD: ALL

　　#PARTTIMERS可以运行任何命令在任何，但是必须先验证自己的密码。

　　PARTTIMERS ALL = ALL

　　#jack可以运行任何命令在定义地CSNET（128.138.243.0, 128.138.242.0和128.138.204.0/24的子网）中，不过注意前两个不需要匹配，而后一个必须匹配掩码。

　　jack CSNETS = ALL

　　#lisa可以运行任何命令在定义为CUNETS（128.138.0.0）的子网中主机上。

　　lisa CUNETS = ALL

　　#用户operator可以运行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有命令。

　　operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\

　　/usr/oper/bin/

　　#joe可以运行su operator命令

　　joe ALL = /usr/bin/su operator

　　#pete可以为除root之外地用户修改密码。

　　pete = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root

　　#bob可以在SPARC和SGI机器上和OP用户组中的root和operator一样运行如何命令。

　　bob SPARC = (OP) ALL : SGI = (OP) ALL

　　#jim可以运行任何命令在biglab网络组中。Sudo默认“+”是一个网络组地前缀。

　　jim +biglab = ALL

　　#在secretaries中地用户帮助管理打印机，并且可以运行adduser和rmuser命令。

　　+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser

　　#fred能够直接运行oracle或者sybase数据库。

　　fred ALL = (DB) NOPASSWD: ALL

　　#john可以在ALPHA机器上，su除了root之外地所有人。

　　john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*

　　#jen可以在除了SERVERS主机组的机器上运行任何命令。

　　jen ALL, !SERVERS = ALL

　　#jill可以在SERVERS上运行/usr/bin/中的除了su和shell命令之外的所有命令。

　　jill SERVERS = /usr/bin/, !SU, !SHELLS

　　#steve可以作为普通用户运行在CSNETS主机上的/usr/local/op_commands/内的任何命令。

　　steve CSNETS = (operator) /usr/local/op_commands/

　　#matt可以在他的个人工作站上运行kill命令。

　　matt valkyrie = KILL

　　#WEBMASTERS用户组中的用户可以以www的用户名运行任何命令或者可以su www。

　　WEBMASTERS www = (www) ALL, (root) /usr/bin/su www

　　#任何用户可以mount或者umount一个cd-rom在CDROM主机上，而不用输入密码。

　　ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\

　　/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM

使用语法　　sudo [ -Vhl LvkKsHPSb ] │ [ -p prompt ] [ -c class│- ] [ -a auth_type ] [-u username│#uid ] command 参数　　

-V	显示版本编号
-h	会显示版本编号及指令的使用方式说明
-l	显示出自己（执行 sudo 的使用者）的权限
-v	因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码
-k	将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）
-b	将要执行的指令放在背景执行
-p	prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称
-u	username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）
-s	执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell
-H	将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是者 root ）
command	要以者身份（或以 -u 更改为其他人）执行的指令

阅读(1112) | 评论(0) | 转发(0) |

上一篇：mha+keepalived安装配置

下一篇：MySQL数据库，性能监控

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6