sudo简单应用
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sudo简单应用相关的知识,希望对你有一定的参考价值。
sudo来自sudo包
man 5 sudoers
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
sudo可以提供日志,记录每个用户使用sudo操作
sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机
通过visudo命令编辑配置文件,具有语法检查功能
visudo –c 检查语法
例:授权给xad用户创建光盘的权限
1、vim /etc/sudoers(不安全)
【授权规则格式:用户 登入主机=(代表用户) 命令】
root ALL=(ALL) ALL 【大概在92行】
wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom
(wang用户 在任何主机上 = 代表root 执行mount 把光盘sr0 挂载到cdrom , 执行umount 卸载cdrom)
2、visudo (=vi /etc/sudoers)(不安全)
有语法检索功能
vim /etc/profile.d/env.sh
export EDITOR=vim
设置其默认用vim打开
3、cd /etc/sudoers.d(安全)
vim wang(权限440)
wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom
格式说明:
user: 运行命令者的身份
host: 通过哪些主机
(runas):以哪个用户的身份
command: 运行哪些命令
别名:
user_alias
runas_alias
host_alias
Cmnd_Alias
客户端Client_list格式:
以逗号或空格分隔的客户端列表
基于IP地址:192.168.10.1 192.168.1.
基于主机名:www.magedu.com .magedu.com 较少用
基于网络/掩码:192.168.0.0/255.255.255.0
基于net/prefixlen: 192.168.1.0/24(CentOS7)
基于网络组(NIS 域):@mynetwork
内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
拒绝其他主机通过sshd访问该主机(多种方式:in.telnetd,sshd):
vim /etc/hosts.deny(拒绝文件) 或 /etc/hosts.allow(允许文件) (以allow优先)
--> 在下面加sshd:n.n.n.n
(centos7 --> n.n.n.n/m 或 n.n.n.n/m.m.m.m 或 n.n.等 ;
cenots6 --> n.n.n.n/m.m.m.m)
拒绝所有访问本主机的IP:
vim /etc/hosts.deny
--> [email protected](本机IP):ALL
双重否定、多重否定:
sshd:172.18. EXCEPT 172.18.101. EXCEPT 172.18.101.57
拒绝172.18.x.x网段,允许172.18.101.x网段,拒绝172.18.101.57
(注意本字段是写在allow允许中,还是写在deny拒绝中)
在有客户端访问时,执行命令:
sshd:172.18.102.57:spawn echo
date +%%F +%%T
client\: %c user\: %u login on server\:%s > /app/tcpwrapper.log以上是关于sudo简单应用的主要内容,如果未能解决你的问题,请参考以下文章