#su [OPTION] USERNAME 切换用户
[OPTION]
- 变更当前的工作环境PWD
空 默认切换为root用户
默认情况下使用su只是将PAHT和用户切换为USERNAME的,并不变更PWD。使用-则和用USERNAME登陆在实质上是一样的。
#sudo [OPTION] COMMAND
某用户在不切换用户的情况下以另一个用户的权限通过某个主机执行某个命令。
[OPTION]
-l 列出当前用户可以使用的所有sudo类命令。
-k 清除认证,下次使用需输入密码。默认第一次输入密码后,5分钟之内不再提示输入密码。
/etc/sudoers
sudo的配置文件,权限为440。
除去额外配置条目,每一行定义个sudo条目,结构如下:
WHO WHICHHOST=[FLAG:](RUNAS) COMMAND
别名:
类似于组,别名只能使用大写字母。先定义后使用。
使用!表示取反。
1.用户别名 User_Alias
User_Alias NAME=USERNAME|%GROUP|OTHERUSERLIST
USERNAME 当前系统上的用户。
%GROUP 用户组,用%引导。
OTHERUSERLSIT 其他的别名列表。
2.主机别名 Host_Alias
Host_Alias HOST=HOST|IPADD|IP/NETMASK|+GROUP|OTHERHOSTLIST
HOST 主机名
IPADD IP地址
IP/NETMASK IP地址/子网掩码
+GROUP 主机组,用+引导。
OTHERHOSTLIST 其他的别名列表
3.以哪个用户运行 Runas_Alias
Runas_Alias RUNAS=USERNAME|#UID|%GROUP|+NETGROUP|OHTERRUNASLIST
USERNAME 用户名
#UID UID,用#引导。
%GROUP 组名,用%引导。
OTHERRUNASLIST 其他的别名列表
4.命令 Cmnd_Alias
Cmnd_Alias CMND=COMMAND|COMMDIR|OTHERCMNDLIST
COMMAND 命令,使用绝对路径。
COMMDIR 目录,包含此目录内的所有命令
OTHERCMNDLIST 其他的别名列表
FLAG(标签):
NOPASSWD 用户无需输入密码
PASSWD 需要密码
相关的操作日志可以在/var/log/secure中查看。此日志文件的权限为600,只允许root查看。
例如:
1.hadoop用户使用root执行useradd
#vimsudo
hadoop ALL=(root) /usr/sbin/useradd,/usr/sbin/usermod
hadoop$ sudo /usr/sbin/useradd tom
[sudo] passowrd for hadoop:
hadoop$
2.清除hadoop用户的认证,并在配置文件中变更为useradd不需要密码,usermod需要密码。
#sudo -k
#vimsudo
hadoop ALL=NOPASSWD:(root) /usr/sbin/useradd,PASSWD: /usr/sbin/usermod
3.创建别名组,并禁止修改root密码:
#visudo
User_Alias USERADMIN=hadoop,%hadoop,%useradmin
Cmnd_Alias USERADMINCMD=/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwd root
这里的[A-Za-z]*类似于文件名通配,不是正则表达式。
USERADMIN ALL=NOPASSWD:USERADMINCMD
#visudo [OPTION] 编辑sudo配置文件的专用命令,可以检查配置文件错误。
[OPTION]
-f FILE 指定其他的sudoers文件
#man sudoers 查看有关/etc/sudoers的具体定义内容。