Linux 学习命令权限的下放——10.1

Posted 2020-08-13

##################################################
#################命令权限的下放###################
1.sudo :sudo可以让你以其他用户的身份执行命令（通常是以root的身份来执行命令）并非所有人可以使用sudo，只有在/etc/sudoers内的用户才能够执>行sudo这个命令。
        [[email protected] ~]# sudo -u sshd touch /tmp/fil
        [[email protected] ~]# ls -ld /tmp/fil
        -rw-r--r--. 1 sshd sshd 0 10月  8 20:54 /tmp/fil   ##从root身份切换到sshd的身份来创建目录
        ***因为/etc/sudoers 文件是有语法的，如果设置错误会造成无法使用sudo 故一般使用visudo命令来修改该文件内容
        1）.单一用户可以使用root的所有命令：
                97 ## Allow root to run any commands [email protected] ~]$ sudo passwd
Sorry, user hao is not allowed to execute ‘/bin/passwd‘ as root on localhost.
[[email protected] ~]$ sudo passwd hao
Changing password for user hao.
nywhere
                98 root    ALL=(ALL)       ALL
                99 student ALL=(ALL)       All                          ##更改sudo内的文件内容  该语句的语法格式详见鸟哥P431

        修改后发现：
        [[email protected] ~]$ sudo useradd hao
        [sudo] password for student:
        [[email protected] ~]$ su - hao                                 ##student用户可以执行root用户的命令来添加用户了
        *****************************************************
        root    ALL=(ALL)       ALL
        1       2     3          4
        1.用户帐号：系统的哪个帐号可以使用sudo这个命令，默认只有root这个账户
        2.登陆者的来源主机名
        3.可切换的身份
        4.可执行的命令：必须使用绝对路径编写
          ** ALL 为特殊的关键字，代表任何身份，主机或者命令的意思

        2）透过群组的功能让用户管理系统
                105 ## Allows people in group wheel to run all commands
                106 %wheel  ALL=(ALL)       ALL
                108 ## Same thing without a password
                109 # %wheel        ALL=(ALL)       NOPASSWD: ALL
        通过这几行我们可以看到只要加入wheel这个用户组就可以run all commands！
                [[email protected] ~]# usermod -G wheel student
                [email protected] ~]# su - student                         ##加入该用户组并且切换到student用户下
                [[email protected] ~]$ sudo useradd zeng                ##发现可以使用useradd了
        若感执行sudo后要输入用户密码繁琐，可以加上NOPASSWD: 这一句，类似109行所视
        3）对指定主机下放指定命令操作
                ## Allow root to run any commands anywhere
                root    ALL=(ALL)       ALL
                hao     localhost=(root)        NOPASSWD: /usr/bin/passwd   ##使localhost这台主机上可以以root的身份执行/usr/bin/passwd>这条命令

                root    ALL=(ALL)       ALL
                hao     localhost=(root)        NOPASSWD: !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
                ##这样修改后发现hao这个用户无法使用passwd命令来更改root的密码，但可以更改其他用户与自己的密码
                        [[email protected] ~]$ sudo passwd
                        Sorry, user hao is not allowed to execute ‘/bin/passwd‘ as root on localhost.
                        [[email protected] ~]$ sudo passwd hao
                        Changing password for user hao.
##################end#################################