linux用户权限管理

Posted 2020-07-31

赋予普通用户特别权限（sudoers）

sudoers简介：

在linux系统中，管理员往往不止一人，若每位管理员都用root身份进行管理工作，根本无法弄清谁做了些什么操作，做什么。所以最佳的方式是：管理员创建一些普通用户，分配一部份系统管理工作给他们。通过sudo我们能把某些终极权限有针对性的下放，并且不必普通用户知道root密码，所以sudo相对于权限无限制性的su来说，还是比较安全的，所以sudo也能被 称为受限制的su,别外sudo是需要授权许可的，所以也被 称为授权许可的su，sudo执行命令的流程是当前用户有转换到root或者他指定转换到的用户，然后以root或者其它指定的转换到的用户身份执行命令，执行完成后，直接退回到当前用户，而且这些的前提是通过sudo的配置文件/etc/sudoers来进行授权

sudoers公式：

授权用户 主机=[（转换到哪些用户或者用户组）][是否需要密码验证]命令1，[（转换到哪些用户或者用户组）] [命令2]....

1、sudo工具由文件/etc/sudoers进行设置，该文件包含所有能访问sudo工具的用户列表并定义了他们的特权。一个典型的/etc/sudoers条目如下：

xiewb ALL=(ALL) ALL 

这个条目使得用户xiewb作为终极用户访问所有应用程式，如果用户xiewb需要作为终极用户运行命令，他只需要简单地在命令前加入sudo。因些需要root用户的身份执行命令ifconfig，xiewb要输入sudo  /usr/sbin/ifconfig。

注意：执行ifconfig命令要写绝对路径，/usr/sbin默认不在普通用户的搜索路径中，或加入export PATH=$PATH:/usr/sbin

2、例子

管理员需要允许gem用户在主机sun上执行reboot和shutdown命令，在/etc/sudoers中加入：
gem sun=/usr/sbin/reboot，/usr/sbin/shutdown
注意：命令一定要使用绝对路径，以避免其他目录的同名命令被执行，从而造成安全隐患。
然后保存退出，gem用户想执行reboot命令时，只要在提示符下运行下列命令：
$ sudo /usr/sbin/reboot
输入正确的密码，就能重启服务器了。

本文出自 “xwb” 博客，请务必保留此出处http://xiewb.blog.51cto.com/11091636/1793314