sudo的初步使用

sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。

sudo的配置文件/etc/sudoers,其格式如下:

root ALL=(ALL) ALL     #root用户可以在任何地方,以任何人的身份,执行任何命令
users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom	#users用户组在主机上能够以管理员的身份挂载和卸载

sudoers支持使用别名对同类对象进行分组:组名必须使用全大写字母

Host_Alias 在哪些主机

User_Alias 哪些用户

Runas_Alias 用哪些身份

Cmnd_Alias 用哪些命令

sudo授权用户:

$ sudo -l 可以查看自己被使用sudoers赋予的权限

$ sudo COMMAND 使用命令

语法

sudo [-bhHpV][-s ][-u <用户>][指令]或
sudo [-klv]

参数

  -b  在后台执行指令。

  -h  显示帮助。

  -H  将HOME环境变量设为新身份的HOME环境变量。

  -k  结束密码的有效期限,也就是下次再执行sudo时便需要输入密码。

  -l  列出目前用户可执行与无法执行的指令。

  -p  改变询问密码的提示符号。

  -s  执行指定的shell。

  -u <用户>  以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份。

  -v  延长密码有效期限5分钟。

  -V  显示版本信息。

-S   从标准输入流替代终端来获取密码

例:

1、让Tom用户能在所有主机上以管理员的身份执行useradd命令,来添加Jerry用户

在root用户

# which useradd
/usr/sbin/useradd
# passwd Tom
passed:Tom
# visudo
Tom     ALL=(root)      /usr/sbin/useradd

重开一个终端,用Tom用户登录

$ sudo -l作为一个不同用户,可以使用这个命令来查看能够以其它用户的身份使用的命令
[sudo] password for Tom:
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd
$ sudo /usr/sbin/useradd Jerry
$ tail /etc/passwd
Tom:x:501:501::/home/Tom:/bin/bash
Jerry:x:502:502::/home/Jerry:/bin/bash

到前一个终端,是root用户

# tail /var/log/secure        #查看日志文件,这个文件只有root用户才有权限
Mar 28 10:34:11 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=list
Mar 28 10:34:15 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=/usr/sbin/useradd Jerry
Mar 28 10:34:15 sange useradd[11625]:new group:name=Jerry,GID=502
Mar 28 10:34:15 sange useradd[11625]:new user:name=Jerry,UID=502,GID=502,home=/home/Jerry,shell=/bin/bash

2、添加useradmins这个用户组,使Tom和Jerry都能使用管理命令

# groupadd useradmins
# usermod -a -G useradmins Tom
# usermod -a -G useradmins Jerry
# passwd Jerry
passwd:Jerry

再开一个终端,用Jerry用户登录

$ sudo -l
[sudo] password for Jerry: Jerry        #现在Jerry没有权限
Sorry,user Jerry may not run sudo on sange.
$ sudo /usr/sbin/useradd user1
[sudo] password for Jerry: Jerry
Jerry is not in the sudoers file. This incident will be reported

所以到root终端

# tail /var/log/secure
Mar 28 10:51:18 sange sudo:    Jerry : command not allowed ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=list
Mar 28 10:51:47 sange sudo:    Jerry : user NOT in sudoers ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=/usr/sbin/useradd user1
You have new mail in /var/spool/mail/root

如果每一个单独授权太麻烦了,但是我们希望一下就让这多个用户都同时具有这样的权限,

# visudo
Tom     ALL=(root)      /usr/sbin/useradd  -->  %useradminsALL=(root)      /usr/sbin/useradd

到Jerry终端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd

到Tom终端

$ sudo -l
[sudo] password for Tom: 
Sorry,user Tom may not run sudo on sange.        #不太清楚什么原因,再开一个终端就好了

重新打开一个终端,用Tom用户登录

$ sudo -l
[sudo] password for Tom:
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd

3、使用命令别名

在root用户

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
%useradmins     ALL=(root)      USERADMIN

到刚刚打开的Tom终端

$ sudo -l
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry终端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
$ sudo /usr/sbin/userdel user3

4、用户别名

在root终端

# useradd Admin
# passed Admin
passwd: Admin
# visudo
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
User_Alias USERADMINS = Tom,Jerry,Admin
USERADMINS      ALL=(root)      USERADMINCMNDS

到Tom终端

$ sudo -l
User Tom may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry终端

$ sudo -l
[sudo] password for Jerry: Jerry
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Admin终端

$ sudo -l
[sudo] password for Admin: Admin
User Jerry may run the following commands on this host:
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

5、主机别名

到root终端

# visudo
Host_Alias USERHOSTS = 192.168.0.0/24        #这一网段都可以用

6、标签

如何在命令的后面添加passwd

在root终端

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd

改完之后,使用sudoers定义的用户就可以改任何人的密码,连管理员的密码都可以修改,太危险了。所以在后面要添加一些内容

Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd [a-zA-Z0-9]*, !/usr/bin/passwd root

这样其它用户就不能修改root的密码

到Tom终端

$ sudo /usr/bin/passwd Jerry
Changing passwd for user Jerry.
New passed:
Retype new passwd:
passwd: all authentication tokens updated successfully.
[[email protected] ~]$ sudo /usr/bin/passwd root
Sorry,user Tom is not allowed to execute ‘/usr/bin/passwd root‘ as root on sange.com.
时间: 2024-10-10 15:19:11

sudo的初步使用的相关文章

初步安装、使用PyPy

最近一周,一直在琢磨着怎么提高python的运行效率,前几天还写了一篇关于提高运行效率的博文,有兴趣的可以去看看,地址如下:http://11026142.blog.51cto.com/11016142/1858568 这些都是从Python语言本身的角度提高优化代码来提高效率,看过几本Python教材.也看过网上的一些优秀博文,都说PyPy是Python的未来,是提高python运行效率的终极杀器,今天上午闲来无事,决定也来了解一下这个杀器.首先是在网上查资料大概了解一下PyPy是什么东西,在

U-BOOT-2016.07移植 (第一篇) 初步分析

U-BOOT-2016.07移植 (第一篇) 初步分析 目录 U-BOOT-201607移植 第一篇 初步分析 目录 编译和移植环境 更新交叉编译工具 1 下载arm-linux-gcc 443 2 安装arm-linux-gcc 443 安装环境Ubuntu 910 下载u-boot-201607并解压 分析顶层Makefile 1 找出目标依赖关系 2 总结 初次编译u-boot 1 配置 2 编译 分析u-boot启动流程 1 分析startS 2 分析crt0S 3 总结 1. 编译和移

[转]linux sudo 命令

转自:http://www.cnblogs.com/xiaochaohuashengmi/archive/2011/11/11/2245341.html “Sudo”是Unix/Linux平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他 特许用户才能完成的任务,比如:运行一些像mount,halt,su之类的命令,或者编辑一些系统配置文件,像/etc/mtab,/etc /samba/smb.conf等.这样以来,就不仅减少了root

caffe初步实践---------使用训练好的模型完成语义分割任务

caffe刚刚安装配置结束,乘热打铁! (一)环境准备 前面我有两篇文章写到caffe的搭建,第一篇cpu only ,第二篇是在服务器上搭建的,其中第二篇因为硬件环境更佳我们的步骤稍显复杂.其实,第二篇也仅仅是caffe的初步搭建完成,还没有编译python接口,那么下面我们一起搞定吧! 首先请读者再回过头去看我的<Ubuntu16.04安装配置Caffe>( http://www.cnblogs.com/xuanxufeng/p/6150593.html  ) 在这篇博文的结尾,我们再增加

不输入密码执行sudo 命令

命令行执行的crontab 命令,但是需要包含sudo 才可以执行的命令,怎么办呢?见下: [email protected]:/etc$ visudovisudo: /etc/sudoers: 权限不够visudo: /etc/sudoers: 权限不够[email protected]:/etc$ sudo visudo ## This file MUST be edited with the 'visudo' command as root.## Please consider addin

openSUSE13.1 初步使用

1.   卸载官方的源(更新速度很慢),添加国内速度比较快的源.ps:关于源的概念,相信用openSUSE的都会知道 1 sudo zypper mr -d openSUSE-13.1-1.10 2 sudo zypper mr -d openSUSE-13.1-Oss openSUSE-13.1-Non-Oss openSUSE-13.1-Update openSUSE-13.1-Update-Non-Oss 3 sudo zypper ar -f http://mirrors.sohu.co

VNC树莓派(Raspberry Pi 3)远程桌面初步体验

树莓派远程登录初步实践 本文中VNC安装部分以及实现VNC服务器端自动运行的方法来自以下网址:http://shumeipai.nxez.com/2013/09/04/login-rpi-with-vnc.html?variant=zh-cn 之前买了一个树莓派3,同时也买了一个小屏幕,已经通过自带屏幕设置好wifi.在使用中发现不但屏幕小,而且显示也不好.所以还是决定用远程登录的方法试试. 树莓派HDMI显示画面(显示器质量一般,显示效果并不理想) 首先下载SecureCRT.SecureCR

掌握sudo的使用

“sudo”是Unix/Linux平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他 特许用户才能完成的任务,比如:运行一些像mount,halt,su之类的命令,或者编辑一些系统配置文件,像/etc/mtab, /etc/samba/smb.conf等.这样以来,就不仅减少了root用户的登陆次数和管理时间,也提高了系统安全性. 一. sudo的特点 sudo扮演的角色注定了它要在安全方面格外谨慎,否则就会导致非法用户攫取 root权

hadoop初步环境搭建,ssh无密码通信

一.初步环境搭建 1在Windows 7上安装VMware虚拟机(VMware-workstation-full-9.0.2),VMware Workstation下载地址: https://my.vmware.com/cn/web/vmware/details?downloadGroup=WKST-902-WIN&productId=293&rPId=3526 注意:不要安装到C盘,找一个磁盘剩余空间较大的盘安装. 2在VMvare中装三台Ubuntu机器(我们使用的是ubuntu-14