7.10-11 visudo、sudo

印度阿三17 2019-05-13

展開全文

7.10 visudo：編輯 sudoers文件

?? ?visudo命令是專門用來編輯/etc/sudoers這個文件的，同時提供語法檢查等功能。/etc/sudoers文件是sudo命令的配置文件。 ? -c?? ?手動執(zhí)行語法檢查 ? 執(zhí)行visudo 對普通用戶lewen和kevin授權(quán)的例子。 ?

[root@cs6 ~]# visudo?
lewen       ALL=(ALL)           ALL    #<==此行是98行，將lewen提權(quán)為root身份。
kevin       ALL=(ALL)           /usr/sbin/useradd,/usr/sbin/userdel
    #<==授權(quán)kevin 可以以root身份添加和刪除用戶權(quán)限。
    #<==分別對lewen和kevin兩個用戶做不同的授權(quán)
 
 
user     MACHINE=     COMMANDS
lewen    ALL=(ALL)    /usr/sbin/useradd、/usr/sbin/userdel

　　提示：如果kevin用戶被授予上述權(quán)限，那么它可在所有的機(jī)器上以所有的角色運(yùn)行useradd、userdel命令，而oldboy用戶別會擁有和root相同的權(quán)限，并且可以切換到root賬戶。如果是針對用戶組，則對應(yīng)的授權(quán)命令如下：? ?%用戶組機(jī)器=（授權(quán)使用哪個角色的權(quán)限） /usr/sbin/useradd?? ? ?? ?通過sudo進(jìn)行系統(tǒng)授權(quán)管理的目的：即能讓運(yùn)維人員干活，又不會威脅系統(tǒng)安全，還可以審計用戶使用sudo的提權(quán)操作命令，默認(rèn)的用戶是無法獲得root權(quán)限的。 ?? ?為了管理方便，工作中可以對lewen授權(quán)ALL權(quán)限，即可以管理整個系統(tǒng)，平時可以使用lewen用戶處理工作，而不使用root用戶。 ? 例如：工作中有批量管理用戶的需求，若使用快速操作命令增加sudo授權(quán)，則需要單獨(dú)執(zhí)行語法檢查，快速操作命令如下：

\cp /etc/sudoers /etc/sudoers.ori
echo "lewen ALL=（ALL） NOPASSWD:ALL" >>/etc/sudoers
tail -l /etc/sudoers

?? ?進(jìn)行上述操作時直接追加內(nèi)容到sudoers文件，沒有進(jìn)行語法檢查，因此需要單獨(dú)執(zhí)行語法檢查命令。 ?

[root@cs6 ~]# visudo -c
/etc/sudoers: parsed OK

7.11 sudo：以另一個用戶身份執(zhí)行命令

?? ?通過sudo命令，可以讓普通用戶在執(zhí)行指定的命令或程序上，擁有超級用戶的權(quán)限，進(jìn)行分類，并且有針對性地（精細(xì)）將不同的命令授予指定的普通用戶，同時普通用戶不需要知道root 密碼就可以得到授權(quán)，這個授權(quán)可以用visudo配置管理。 ? -l?? ?列出當(dāng)前用戶可以執(zhí)行的命令。只有在sudoers文件里的用戶才能使用該選項(xiàng) -h?? ?列出使用方法，并退出 -H?? ?將環(huán)境變量中的HOME（家目錄）指定為要變更身份的使用者家目錄（如果不加-u 參數(shù)就是系統(tǒng)管理者root） -V?? ?顯示版本信息，并退出 -v?? ?sudo在第一次執(zhí)行時，或者在N分鐘內(nèi)沒有執(zhí)行（N預(yù)設(shè)為五），則會詢問密碼，這個參數(shù)用于重新做一次確認(rèn) -u?? ?以指定用戶的身份執(zhí)行命令。后面是除root以外的用戶，可以是用戶名，也可以是uid -k?? ?清除時間截上的時間，下次再使用sudo時要再輸入密碼 -K?? ?與k類似，同時還要刪除時間戳文件 -b?? ?在后臺執(zhí)行指定的命令 -p?? ?可以更改詢問密碼時的提示語 -e?? ?不執(zhí)行命令，而是修改文件，相當(dāng)于命令sudo edit ? ? 查看用戶被visudo授權(quán)后擁有的權(quán)限。已經(jīng)對lewen用戶進(jìn)行過授權(quán)，此時再以lewen用戶的身份登錄系統(tǒng)時，就可以通過執(zhí)行類似于sudo ls -l /root（sudo后面加正常命令）的命令來以root用戶的權(quán)限管理系統(tǒng)了，命令如下：?

[root@cs6 ~]# su lewen
[lewen@cs6 root]$ ls
ls: cannot open directory .: Permission denied
[lewen@cs6 root]$ sudo ls
centos6_10.iso    dev_sdb1.img  fav.jpg  lewen.log  lewen.nc  nohup.out  test.data  test.test_u  test.txt  #log  web.sh
[lewen@cs6 root]$

通過sudo授權(quán)管理之后，所有用戶執(zhí)行授權(quán)的特殊權(quán)限格式為“sudo命令”。如果需要切換到root執(zhí)行相關(guān)操作，則可以通過“sudo su -”命令，注意，此命令提示的密碼為當(dāng)前用戶的密碼，而不是root的密碼。執(zhí)行“sudo -l”命令可以查看當(dāng)前用戶被授予的sudo權(quán)限集合。

 
 
[kevin@cs6 root]$ sudo ls
[sudo] password for kevin:
Sorry, user kevin is not allowed to execute '/bin/ls' as root on cs6.
[kevin@cs6 root]$ sudo -l
[sudo] password for kevin:
Matching Defaults entries for kevin on this host:
    !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",
    env_keep ="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep ="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep ="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep ="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
 
User kevin may run the following commands on this host:
    (ALL) /usr/sbin/useradd, (ALL) /usr/sbin/userdel

對于Linux系統(tǒng)bash的內(nèi)置命令，一般無法進(jìn)行sudo授權(quán)，例如：cd命令。 sudo 授權(quán)與su切換的原理示意圖如圖7-1所示。

? ? ?? ?在生產(chǎn)環(huán)境中，通常會禁止root遠(yuǎn)程登錄，不過，系統(tǒng)會為每個運(yùn)維人員建立一個普通賬號，然后根據(jù)運(yùn)維人員的需求，通過sudo控制登錄系統(tǒng)的權(quán)限，事實(shí)證明這是一個不錯的權(quán)限管理方式。當(dāng)然，在筆者的生產(chǎn)環(huán)境中還使用了ldap統(tǒng)一認(rèn)證登錄及授權(quán)管理的方式。即只要有一個賬號和密碼，即可在全公司多個機(jī)房系統(tǒng)內(nèi)通行無阻（系統(tǒng)登錄、SVN、VPN等），有關(guān)這部分內(nèi)容的講解，在老男孩教學(xué)的高級課程中會有涉及。在此大家了解下即可。 ?? ?普通用戶的環(huán)境變量問題：在早期的CentOS5系統(tǒng)中，普通用戶執(zhí)行系統(tǒng)管理的相關(guān)命令時會遭遇到環(huán)境變量問題，導(dǎo)致找不到執(zhí)行的命令（CentOS6以后的系統(tǒng)已經(jīng)不存在這個問題了）。　sudo授權(quán)對于bash內(nèi)置命令的處理是一個難題，因?yàn)閮?nèi)置命令沒有實(shí)體文件和路徑，不過一般也有解決方法，例如可以使用sudo ls替代sudo cd，有的網(wǎng)友會在使用sudo bash后再使用內(nèi)置命令，這是很危險的，不推薦。 ?

[root@cs6 ~]# ll /var/db/sudo/
total 8
drwx------. 2 root kevin 4096 May 12 11:30 kevin
drwx------. 2 root sa    4096 May 12 11:05 lewen

?? ?待用戶執(zhí)行sudo并且輸入密碼之后，用戶會獲得一張默認(rèn)存活期為5分鐘的“人場券”（默認(rèn)值可以在編譯的時候改變）。但超時以后，用戶就必須重新輸入密碼了。 ?? ?可以使用sudo的-k或-K參數(shù)清空sudo用戶的時間戳，這樣還會提示輸入密碼，但是如果配置授權(quán)對應(yīng)用戶時加了NOPASSWD選項(xiàng)，那么執(zhí)行sudo命令時則永久不會提示輸入密碼了。 ? sudo的配置文件/etc/sudoers 通過以下命令可以看到sudo的配置文件/etc/sudoers里的內(nèi)容。

[root@cs6 ~]# ll /etc/sudoers
-r--r-----. 1 root root 3841 May 12 11:07 /etc/sudoers

?? ?建議用visudo編輯該文件，因?yàn)樵撁钣姓Z法檢查，否則一旦出錯了，普通用戶就無法使用sudo了。直接在命令行執(zhí)行visudo 即可自動打開/etc/sudoers文件。如果通過vi來編輯/etc/sudoers，則保存時要用“wq！”來強(qiáng)制保存，否則會提示只讀不能保存的錯誤，而且最后還要用visudo -c進(jìn)行語法檢查，這樣實(shí)在太麻煩！ ? ?來源：http://www./content-4-188751.html

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：印度阿三17 > 《開發(fā)》

舉報/認(rèn)領(lǐng)