sudo 限制普通用户权限

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sudo 限制普通用户权限相关的知识,希望对你有一定的参考价值。

限制用户sudo所能执行的命令

linux是多用户多任务的分时操作系统,共享该系统的用户往往不只一个。

但由于root账户密码的敏感性和root账号的无限制权限, 有必要通过useradd创建一些普通用户, 只让他们拥有不完全的权限; 如有必要,再来申请执行一些root权限的指令。
sudo就是来解决这个需求的。
sudo命令的执行流程是: 当前用户转换到root, 然后以root身份执行命令, 执行完成后, 直接退回到当前用户.
需要注意的是: 执行sudo时输入的密码, 是当前用户的密码, 并非root密码.

赋予用户sudo操作的权限
[[email protected] ~]# visudo
#在99行下面添加以下内容
zhang ALL=(ALL) ALL
#如果是命令使用下面的方式:zhang ALL=(ALL) /bin/touch(多个权限用“,”分开,ALL所有权限,NOPASSWD: ALL免密码)

注:
一般常用sudo命令来临时获得root权限执行一些特权命令。这很方便,但是也有一个问题: 普通用户可以通过sudo命令完成用户的增删和密码的更改,甚至是对root用户的密码更改!!!
如:

[email protected]$:sudo passwd root
Input the new UNIX pass word:
这样就可以直接越过root直接修改root的密码。这是非常危险的。

解决办法

1、 groupadd admin 创建一个admin用户组,后边在设置权限时会用到

2、usermod -a -G admin [用户] 将用户添加到admin组

3、在这里可以通过 /etc/sudoers 文件限制

$:sudo visudo
注意,这命令在最后修改sudoers文件中,也要加以限制,否则还可以通过这个命令恢复。

在这个文件中修改默认的以下两行:

%admin ALL=(ALL) ALL
%sudo ALL=(ALL) ALL
为以下:

%admin ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
%sudo ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel

以上是关于sudo 限制普通用户权限的主要内容,如果未能解决你的问题,请参考以下文章

centos7系列-给普通用户sudo权限

二Linux权限(文件权限umask粘滞位与普通用户sudo权限)

Linux 中用户权力的下放

linux用户权限管理

如何限制root远程登入,使普通用户拥有root权限

root 用户和 sudo 命令