sudo

Posted 2020-08-03

sudo COMMAND

su

suid:

定义某个用户能够以另外哪一个用户的身份通过哪个主机执行某命令

sudo的配置文件 /etc/sudoers

visudo:默认是编辑/etc/suduers

  -f 可以指定另外一个文件

 

 

 

一个sudo条目：

哪个用户 ，在哪个主机上，以什么身份， 执行什么命令

who which_hosts=(runas)command

who:User_Alias

which_hosts:Host_Alias

runas:Runas_Alias

command:Cmnd_Alias

 

 

别名：类似定义的组,只能使用大写英文字母的组合

 

 

用户别名：

User_AliasUSERADMIN=

  用户的用户名

  组名，使用%引导

  还可以包含其他已经定义好的用户别名

 

Host_Alias

主机名

ip

网络地址

其他主机别名

 

Runas_Alias:

用户名

%组名

其他的Runas别名

 

Cmnd_Alias

命令路径

目录（此目录内的所有别名）

其他事先定义过的命令别名

 

 

[[email protected] ~]#su - user1

[[email protected] ~]$/user/sbin/useradd user2

-bash:/user/sbin/useradd: 没有那个文件或目录

[[email protected] ~]$sudo /user/sbin/useradd user2

 

We trust you havereceived the usual lecture from the local System

Administrator. Itusually boils down to these three things:

 

    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes greatresponsibility.

 

[sudo] passwordfor user1:

user1 不在 sudoers 文件中。此事将被报告。

 

定义：

visudo    #vi/etc/sudoers

在最后加一条别名

user1  ALL=(root) /usr/sbin/useradd  ,/usr/sbin/userdel

 

[[email protected] ~]$sudo useradd user10

[sudo] passwordfor user1:

[[email protected] ~]$id user10

uid=502(user10)gid=503(user10) 组=503(user10)

 

[[email protected] ~]$sudo userdel user10

[[email protected] ~]$id user10

id: user10：无此用户

默认第一次输入密码以后 5分钟内不用再次输入密码

sudo –k 锁定，让认证信息失效

sudo –l 列出当前用户 所有sudo的命令

sudo –c

 

 

NOPASSWD: 不用密码认证

user1 ALL=(root)   NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/userdel

 

 

定义一个用户管理类命令 %后面跟组名

User_Alias USERADMIN= user1,%user1,%useradmin  定义的组合用户名

Cmnd_AliasUSERADMINCMND = /usr/sbin/useradd ,

/usr/sbin/userdel，/usr/bin/passwd[A-Za-z]*, !/usr/bin/passwd root 定义需要的所有命令,passwd一定不能让sudo可以修改root密码.

USERADMIN  ALL=(root)  NOPASSWD:USERADMINCMND

 

sudo的操作都会被记录到/var/log/secure文件中

 

 

 

 

 

本文出自 “linux运维” 博客，谢绝转载！