sudo的初步使用

sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個(gè)工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄 和管理時(shí)間，同樣也提高了安全性。sudo不是對(duì)shell的一個(gè)代替，它是面向每個(gè)命令的。

sudo的配置文件/etc/sudoers，其格式如下：

root ALL=(ALL) ALL     #root用戶可以在任何地方，以任何人的身份，執(zhí)行任何命令
users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom	#users用戶組在主機(jī)上能夠以管理員的身份掛載和卸載

sudoers支持使用別名對(duì)同類對(duì)象進(jìn)行分組：組名必須使用全大寫字母

Host_Alias 在哪些主機(jī)

User_Alias 哪些用戶

Runas_Alias 用哪些身份

Cmnd_Alias 用哪些命令

sudo授權(quán)用戶：

$ sudo -l 可以查看自己被使用sudoers賦予的權(quán)限

$ sudo COMMAND 使用命令

語(yǔ)法

sudo [-bhHpV][-s ][-u <用戶>][指令]或
sudo [-klv]

參數(shù)

　　-b 　在后臺(tái)執(zhí)行指令。

　　-h 　顯示幫助。

　　-H 　將HOME環(huán)境變量設(shè)為新身份的HOME環(huán)境變量。

　　-k 　結(jié)束密碼的有效期限，也就是下次再執(zhí)行sudo時(shí)便需要輸入密碼。

　　-l 　列出目前用戶可執(zhí)行與無(wú)法執(zhí)行的指令。

　　-p 　改變?cè)儐?wèn)密碼的提示符號(hào)。

　　-s 　執(zhí)行指定的shell。

　　-u <用戶> 　以指定的用戶作為新的身份。若不加上此參數(shù)，則預(yù)設(shè)以root作為新的身份。

　　-v 　延長(zhǎng)密碼有效期限5分鐘。

　　-V 　顯示版本信息。

        -S   從標(biāo)準(zhǔn)輸入流替代終端來(lái)獲取密碼

例：

1、讓Tom用戶能在所有主機(jī)上以管理員的身份執(zhí)行useradd命令，來(lái)添加Jerry用戶

在root用戶

# which useradd
/usr/sbin/useradd
# passwd Tom
passed：Tom
# visudo
Tom     ALL=(root)      /usr/sbin/useradd

重開一個(gè)終端，用Tom用戶登錄

$ sudo -l作為一個(gè)不同用戶，可以使用這個(gè)命令來(lái)查看能夠以其它用戶的身份使用的命令
[sudo] password for Tom:
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd
$ sudo /usr/sbin/useradd Jerry
$ tail /etc/passwd
Tom:x:501:501::/home/Tom:/bin/bash
Jerry:x:502:502::/home/Jerry:/bin/bash

到前一個(gè)終端，是root用戶

# tail /var/log/secure        #查看日志文件，這個(gè)文件只有root用戶才有權(quán)限
Mar 28 10:34:11 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=list
Mar 28 10:34:15 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=/usr/sbin/useradd Jerry
Mar 28 10:34:15 sange useradd[11625]:new group:name=Jerry,GID=502
Mar 28 10:34:15 sange useradd[11625]:new user:name=Jerry,UID=502,GID=502,home=/home/Jerry,shell=/bin/bash

2、添加useradmins這個(gè)用戶組，使Tom和Jerry都能使用管理命令

# groupadd useradmins
# usermod -a -G useradmins Tom
# usermod -a -G useradmins Jerry
# passwd Jerry
passwd：Jerry

再開一個(gè)終端，用Jerry用戶登錄

$ sudo -l
[sudo] password for Jerry: Jerry        #現(xiàn)在Jerry沒有權(quán)限
Sorry，user Jerry may not run sudo on sange.
$ sudo /usr/sbin/useradd user1
[sudo] password for Jerry: Jerry
Jerry is not in the sudoers file. This incident will be reported

所以到root終端

# tail /var/log/secure
Mar 28 10:51:18 sange sudo:    Jerry : command not allowed ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=list
Mar 28 10:51:47 sange sudo:    Jerry : user NOT in sudoers ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=/usr/sbin/useradd user1
You have new mail in /var/spool/mail/root

如果每一個(gè)單獨(dú)授權(quán)太麻煩了，但是我們希望一下就讓這多個(gè)用戶都同時(shí)具有這樣的權(quán)限，

# visudo
Tom     ALL=(root)      /usr/sbin/useradd  -->  %useradminsALL=(root)      /usr/sbin/useradd

到Jerry終端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd

到Tom終端

$ sudo -l
[sudo] password for Tom: 
Sorry，user Tom may not run sudo on sange.        #不太清楚什么原因，再開一個(gè)終端就好了

重新打開一個(gè)終端，用Tom用戶登錄

$ sudo -l
[sudo] password for Tom:
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd

3、使用命令別名

在root用戶

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
%useradmins     ALL=(root)      USERADMIN

到剛剛打開的Tom終端

$ sudo -l
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry終端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
$ sudo /usr/sbin/userdel user3

4、用戶別名

在root終端

# useradd Admin
# passed Admin
passwd: Admin
# visudo
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
User_Alias USERADMINS = Tom,Jerry,Admin
USERADMINS      ALL=(root)      USERADMINCMNDS

到Tom終端

$ sudo -l
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry終端

$ sudo -l
[sudo] password for Jerry: Jerry
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Admin終端

$ sudo -l
[sudo] password for Admin: Admin
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

5、主機(jī)別名

到root終端

# visudo
Host_Alias USERHOSTS = 192.168.0.0/24        #這一網(wǎng)段都可以用

6、標(biāo)簽

如何在命令的后面添加passwd

在root終端

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd

改完之后，使用sudoers定義的用戶就可以改任何人的密碼，連管理員的密碼都可以修改，太危險(xiǎn)了。所以在后面要添加一些內(nèi)容

Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd [a-zA-Z0-9]*, !/usr/bin/passwd root

這樣其它用戶就不能修改root的密碼

到Tom終端

$ sudo /usr/bin/passwd Jerry
Changing passwd for user Jerry.
New passed：
Retype new passwd：
passwd： all authentication tokens updated successfully.
[Tom@sange ~]$ sudo /usr/bin/passwd root
Sorry,user Tom is not allowed to execute '/usr/bin/passwd root' as root on sange.com.