sudo权限

sudo是Unix/Linux平台上的一个非常有用的工具，允许为非根用户赋予一些合理的“权利”，让他们执行一些只有根用户或特许用户才能完成的任务，从而减少根用户的登陆次数和管理时间同时也提高了系统安全性。

sudo的目的：为非根用户授予根用户的权限；

sudo的工作过程如下：

1，当用户执行sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo的权限

2，确认用户具有可执行sudo的权限后，让用户输入用户自己的密码确认

3，若密码输入成功，则开始执行sudo后续的命令

4，root执行sudo时不需要输入密码(sudoers文件中有配置root ALL=(ALL) ALL这样一条规则)

5，若欲切换的身份与执行者的身份相同，也不需要输入密码

----------------------------------------------------------------------------------------------------------------------------------------------------

配置文件：/etc/sudoers

visudo命令编辑修改/etc/sudoers配置文件:

98 root   ALL=(ALL)        ALL

99 User01  RHEL7-1=(root)  /usr/sbin/useradd,/usr/bin/passwd,/usr/bin/ls,/usr/bin/cat

说明：

第一个字段：root为能使用sudo命令的用户；

第二个字段：第一个ALL为允许使用sudo的主机，第二个括号里的ALL为使用sudo后以什么身份(目的用户身份）来执行命令；

第三个字段：ALL为以sudo命令允许执行的命令；

99行的解释：

表示允许User01用户能从RHEL7-1主机登录，以root的身份执行useradd,passwd,ls,cat命令。

----------------------------------------------------------------------------------------------------------------------------------------------------

以下转载了关于visudo有用的中文解释，可参考：

1. ## Sudoers allows particular users to run various commands as
2. ## the root user, without needing the root password.
3. ## 该文件允许特定用户像root用户一样使用各种各样的命令，而不需要root用户的密码
4. ##
5. ## Examples are provided at the bottom of the file for collections
6. ## of related commands, which can then be delegated out to particular
7. ## users or groups.
8. ## 在文件的底部提供了很多相关命令的示例以供选择，这些示例都可以被特定用户或
9. ## 用户组所使用
10. ##
11. ## This file must be edited with the ‘visudo‘ command.
12. ## 该文件必须使用"visudo"命令编辑
13. ## Host Aliases
14. ## Groups of machines. You may prefer to use hostnames (perhaps using
15. ## wildcards for entire domains) or IP addresses instead.
16. ## 对于一组服务器，你可能会更喜欢使用主机名（可能是全域名的通配符）
17. ## 、或IP地址，这时可以配置主机别名
18. # Host_Alias     FILESERVERS = fs1, fs2
19. # Host_Alias     MAILSERVERS = smtp, smtp2
20. ## User Aliases
21. ## These aren‘t often necessary, as you can use regular groups
22. ## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
23. ## rather than USERALIAS
24. ## 这并不很常用，因为你可以通过使用组来代替一组用户的别名
25. # User_Alias ADMINS = jsmith, mikem
26. ## Command Aliases
27. ## These are groups of related commands...
28. ## 指定一系列相互关联的命令（当然可以是一个）的别名，通过赋予该别名sudo权限，
29. ## 可以通过sudo调用所有别名包含的命令，下面是一些示例
30. ## Networking 网络操作相关命令别名
31. # Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient
32. , /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig
33. , /sbin/mii-tool
34. ## Installation and management of software 软件安装管理相关命令别名
35. # Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
36. ## Services 服务相关命令别名
37. # Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
38. ## Updating the locate database 本地数据库升级命令别名
39. # Cmnd_Alias LOCATE = /usr/bin/updatedb
40. ## Storage 磁盘操作相关命令别名
41. # Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe
42. , /bin/mount, /bin/umount
43. ## Delegating permissions 代理权限相关命令别名
44. # Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
45. ## Processes 进程相关命令别名
46. # Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
47. ## Drivers 驱动命令别名
48. # Cmnd_Alias DRIVERS = /sbin/modprobe
49. # Defaults specification
50. #
51. # Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
52. #         You have to run "ssh -t hostname sudo <cmd>".
53. # 一些环境变量的相关配置，具体情况可见man soduers
54. Defaults    requiretty
55. Defaults    env_reset
56. Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
57. Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
58. Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
59. Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
60. Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
61. Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
62. ## Next comes the main part: which users can run what software on
63. ## which machines (the sudoers file can be shared between multiple
64. ## systems).
65. ## 下面是规则配置：什么用户在哪台服务器上可以执行哪些命令（sudoers文件可以在多个系统上共享）
66. ## Syntax(语法):
67. ##
68. ##  user    MACHINE=COMMANDS 用户 登录的主机=（可以变换的身份） 可以执行的命令
69. ##
70. ## The COMMANDS section may have other options added to it.
71. ## 命令部分可以附带一些其它的选项
72. ##
73. ## Allow root to run any commands anywhere
74. ## 允许root用户执行任意路径下的任意命令
75. root    ALL=(ALL)   ALL
76. ## Allows members of the ‘sys‘ group to run networking, software,
77. ## service management apps and more.
78. ## 允许sys中户组中的用户使用NETWORKING等所有别名中配置的命令
79. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE
80. , DRIVERS
81. ## Allows people in group wheel to run all commands
82. ## 允许wheel用户组中的用户执行所有命令
83. %wheel  ALL=(ALL)   ALL
84. ## Same thing without a password
85. ## 允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令
86. # %wheel    ALL=(ALL)   NOPASSWD: ALL
87. ## Allows members of the users group to mount and unmount the
88. ## cdrom as root
89. ## 允许users用户组中的用户像root用户一样使用mount、unmount、chrom命令
90. # %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
91. ## Allows members of the users group to shutdown this system
92. ## 允许users用户组中的用户关闭localhost这台服务器
93. # %users  localhost=/sbin/shutdown -h now
94. ## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
95. ## 读取放置在/etc/sudoers.d/文件夹中的文件（此处的#不意味着这是一个声明）
96. #includedir /etc/sudoers.d