Linux系統(tǒng)sudo命令詳解

這篇文章主要講解了“Linux系統(tǒng)sudo命令詳解”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“Linux系統(tǒng)sudo命令詳解”吧！

目錄

0x01 介紹

0x02 別名

0x03 授權(quán)規(guī)則

0x04 注意事項

0x05 sudo命令用戶行為日志審計

0x01 介紹

sudo的配置文件是/etc/sudoers，在sudoers中每一行就是一個規(guī)則，當(dāng)規(guī)則超過一行的話，可以使用“\”來進(jìn)行續(xù)行，它的規(guī)則大致可分為兩類，一類是別名定義，另一類是授權(quán)規(guī)則，別名定義并不是必須的，只是在授權(quán)規(guī)則多的時候會更加方便，授權(quán)規(guī)則是必須的。

0x02 別名

別名類型主要包括以下四種

Host_Alias  主機(jī)別名User_Alias  用戶別名Runas_Alias  用戶身份別名Cmnd_Alias  命令別名

Host_Alias

主機(jī)別名是指定要在哪一個主機(jī)上生效，我們一般是不用的，只有在共享的多系統(tǒng)中才會使用到，使用ALL就可以了，它對應(yīng)的是第一個ALL

定義的格式是這樣的

Host_Alias FILESERVERS = fs1, fs2

User_Alias

用戶別名是指定生效用戶的，它可以針對用戶也可以針對用戶組，如果是用戶組的話，前面需要加%

定義格式是這樣的

User_Alias ADMINS = admin, balabala, %groupname

Runas_Alias

用戶身份別名即sudo允許切換到的用戶身份

定義格式是這樣的

Runas_Alias OP = root, wuxin

Cmnd_Alias

命令別名就是定義一組相關(guān)命令的集合

定義格式是這樣的

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill

那么我們什么時候使用這些別名呢，一般是有多個系統(tǒng)用戶，需要進(jìn)行分類和分層次管理的時候才需要使用，至于如何配置就按照實際需求來進(jìn)行更改就可以了，其實就是把一大堆的命令內(nèi)容縮減為簡單的變量。

0x03 授權(quán)規(guī)則

對于規(guī)則來說，看看前面的例子就很明確了，之前的文章也提到了每一項所代表的含義，下面舉一個例子就很明確了

我們先進(jìn)行一下編輯操作

然后我們切換到test用戶下，查看一下可以執(zhí)行的命令

0x04 注意事項

1.授權(quán)規(guī)則里的ALL，必須為大寫字母

2.Cmnd_Alias執(zhí)行命令是有順序的，命令的順序是從后向前的，盡量把禁止的命令放在后面

3.如果內(nèi)容超過了一行一定要使用“\”來換行

0x05 sudo命令用戶行為日志審計

sudo命令日志審計，并不記錄普通用戶的普通操作，而是記錄執(zhí)行sudo命令的用戶操作

第一個方法是，通過環(huán)境變量及rsyslog服務(wù)進(jìn)行全部日志審計，這樣的做的問題就是產(chǎn)生的信息量太大，所以不推薦這么做。

第二個方法，sudo配合rsyslog服務(wù)進(jìn)行日志審計，信息量還是比較少的，效果還可以

第三個方法，在bash解釋器程序中嵌入一個監(jiān)視器，讓所有被審計的系統(tǒng)用戶使用修改過的bash程序作為解釋程序

第四個方法，開源的跳板機(jī)jumpserver(python)

第五個方法，花錢買商業(yè)版的服務(wù)

這里用第二個方法來說明

首先我們先編輯一下rsyslog.conf文件

然后修改/etc/sudoers文件

感謝各位的閱讀，以上就是“Linux系統(tǒng)sudo命令詳解”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對Linux系統(tǒng)sudo命令詳解這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關(guān)知識點的文章，歡迎關(guān)注！