sudo 使普通使用者可以臨時以 root 使用者的身份和許可權執行系統命令(centos 7.3)
阿新 • • 發佈:2021-08-16
sudo許可權的作用是:使普通使用者可以臨時以 root 使用者的身份和許可權執行系統命令
sudo許可權的操作物件是系統命令
注意事項:
1) 賦予使用者sudo許可權時一定要謹慎,夠用即可,不要賦予過高的許可權
2) [授權的命令] 設定得越具體,使用者獲得的許可權越小。
3) 嚴禁賦予普通使用者 /usr/bin/passwd、/usr/bin/vi、/usr/bin/su、/usr/bin/bash 命令的許可權,擁此許可權的使用者可以修改root使用者密碼,然後為所欲為。
4) 權力越大,責任越大。
步驟一.root使用者登入直接使用visudo命令進行編輯, visudo 命令實際修改的是 /etc/sudoers
步驟二. 編輯
[root/etc]#visudo ... 省略部分內容 ... ## Allow root to run any commands anywhere ## 允許root在任何地方執行任何命令 root ALL=(ALL) ALL ## Allows members of the 'sys' group to run networking, software, service management apps and more. ## 允許“sys”使用者組的成員執行 網路、軟體、服務管理應用等命令。 # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS ## Allows people in group wheel to run all commands ## 允許“wheel”使用者組的成員執行所有命令 %wheel ALL=(ALL) ALL ## Allows people in group wheel to run all commands without a password ## 允許“wheel”使用者組的成員執行所有命令,且執行時不需要輸入密碼 # %wheel ALL=(ALL) NOPASSWD: ALL ## Allows members of the users group to mount and unmount the cdrom as root ## 允許“users”組的成員執行 掛載、解除安裝光碟的命令 # %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom ## Allows members of the users group to shutdown this system ## 允許“users”組的成員在本機執行 /sbin/shutdown -h now 命令 # %users localhost=/sbin/shutdown -h now ## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment) ## 讀取 /etc/sudoers.d 目錄下所有檔案的內容作為配嵌入到此配置檔案 ## 注意,下面的 # 後面並不是註釋 #includedir /etc/sudoers.d
為使用者配置sudo許可權
[使用者名稱] [被管理主機的IP]=([可以使用的身份]) [NOPASSWD: ][授權的命令]
[被管理主機的IP]、[可以使用的身份]、[授權的命令]都可以使用ALL來表示不限制。
新增[NOPASSWD: ]選項可以使使用者在使用sudo許可權時不需要輸入密碼。[授權的命令]要使用絕對路徑,多條命令之間可用逗號(,)分隔。
- 例:
## Allow root to run any commands anywhere
## 允許root在任何地方執行任何命令
root ALL=(ALL) ALL
zhangsan ALL=(ALL) /usr/bin/chown,/usr/bin/chmod
為使用者組配置sudo許可權
%[組名] [被管理主機的IP]=([可以使用的身份]) [NOPASSWD: ][授權的命令]
[被管理主機的IP]、[可以使用的身份]、[授權的命令]都可以使用ALL來表示不限制。
新增[NOPASSWD: ]選項可以使使用者在使用sudo許可權時不需要輸入密碼。
使用者組 與 使用者 的唯一區別是使用者組前有個%
- 例:
## 允許“wheel”使用者組的成員執行所有命令,且執行時不需要輸入密碼
%wheel ALL=(ALL) NOPASSWD: ALL
步驟三.儲存即可