2. 程式人生 > >sudo配置檔案/etc/sudoers詳解及實戰用法

sudo配置檔案/etc/sudoers詳解及實戰用法

阿新 發佈:2019-01-25

一、sudo執行命令的流程
將當前使用者切換到超級使用者下,或切換到指定的使用者下,
然後以超級使用者或其指定切換到的使用者身份執行命令,執行完成後,直接退回到當前使用者。
具體工作過程如下:
當用戶執行sudo時,系統會主動尋找/etc/sudoers檔案,判斷該使用者是否有執行sudo的許可權
-->確認使用者具有可執行sudo的許可權後,讓使用者輸入使用者自己的密碼確認
-->若密碼輸入成功,則開始執行sudo後續的命令

二、不需要輸入密碼的情況
1.root執行sudo時不需要輸入密碼(eudoers檔案中有配置root ALL=(ALL) ALL這樣一條規則)
2.欲切換的身份與執行者的身份相同,不需要輸入密碼
3./etc/sudoers檔案設定為允許使用者在不輸入該使用者的密碼的情況下使用所有命令
如設定允許wheel使用者組中的使用者在不輸入該使用者的密碼的情況下使用所有命令
( %wheel        ALL=(ALL)       NOPASSWD: ALL)

三、/etc/sudoers檔案解釋
[[email protected] ~]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##該檔案允許特定使用者像root使用者一樣使用各種各樣的命令,而不需要root使用者的密碼
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在檔案的底部提供了很多相關命令的示例以供選擇,這些示例都可以被特定使用者或 
## ## 使用者組所使用 
## This file must be edited with the 'visudo' command.
## 該檔案必須使用"visudo"命令編輯

## Host Aliases
#主機別名
## Groups of machines. You may prefer to use hostnames (perhap using
## wildcards for entire domains) or IP addresses instead.
## 對於一組伺服器,你可能會更喜歡使用主機名(可能是全域名的萬用字元)
## 或IP地址代替,這時可以配置主機別名
 
# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2

## User Aliases
#使用者別名
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
## 這並不很常用,因為你可以通過使用組來代替一組使用者的別名 
# User_Alias ADMINS = jsmith, mikem


## Command Aliases
## These are groups of related commands...
## 指定一系列相互關聯的命令(當然可以是一個)的別名,通過賦予該別名sudo許可權, 
## 可以通過sudo呼叫所有別名包含的命令,下面是一些示例


## Networking
#網路操作相關命令別名 
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
 /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig,
 /sbin/mii-tool

## Installation and management of software
#軟體安裝管理相關命令別名 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
#服務相關命令別名
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
#本地資料庫升級命令別名 
Cmnd_Alias LOCATE = /usr/sbin/updatedb

## Storage
#磁碟操作相關命令別名
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
#代理許可權相關命令別名
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp

## Processes
#程序相關命令別名
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
#驅動命令別名
Cmnd_Alias DRIVERS = /sbin/modprobe
#環境變數的相關配置
# Defaults specification

#
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
#         You have to run "ssh -t hostname sudo <cmd>".
#
Defaults    requiretty

Defaults    env_reset
Defaults    env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \
                        LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \
                        LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \
                        LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \
                        LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \
                        _XKB_CHARSET XAUTHORITY"

## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是規則配置:什麼使用者在哪臺伺服器上可以執行哪些命令(sudoers檔案可以在多個系統上共享)
## Syntax:
##語法
##      user    MACHINE=COMMANDS
##  使用者 登入的主機=(可以變換的身份) 可以執行的命令 
##
## The COMMANDS section may have other options added to it.
## 命令部分可以附帶一些其它的選項 
##
## Allow root to run any commands anywhere
## 允許root使用者執行任意路徑下的任意命令
root    ALL=(ALL)       ALL

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## 允許sys中戶組中的使用者使用NETWORKING等所有別名中配置的命令
 
## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
## 允許wheel使用者組中的使用者執行所有命令 
## Same thing without a password
## 允許wheel使用者組中的使用者在不輸入該使用者的密碼的情況下使用所有命令
# %wheel        ALL=(ALL)       NOPASSWD: ALL

## Allows members of the users group to mount and unmount the
## cdrom as root
## 允許users使用者組中的使用者像root使用者一樣使用mount、unmount、chrom命令
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom

## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
## 允許users使用者組中的使用者像root使用者一樣使用shutdown命令

四、實際案例演示

例項1:讓普通使用者fieldyang具有/etc/init.d/nagios指令碼重啟的許可權,可以在/etc/sudoers新增如下設定:

[[email protected] ~]# visudo

fieldyang ALL=NOPASSWD:/etc/init.d/nagios restart

例項2:讓普通使用者fieldyang具有所有超級使用者的許可權而又不用輸入密碼

[[email protected] ~]# visudo
fieldyang ALL=(ALL)NOPASSWD:ALL
[[email protected] ~]#sudo su -
[[email protected] ~]#pwd
/root

例項3:針對MySQL資料庫的設定,讓test組中的test使用者具備/etc/init.d/mysqld的許可權
######################## mysql ################
1.
[[email protected] ~]# groupadd test
[[email protected] ~]# useradd -g test -m -d /home/test -s /bin/bash test
[[email protected] ~]# passwd test
2.
[[email protected] ~]# visudo
# test ALL=(ALL) NOPASSWD: /etc/init.d/mysqld
test ALL=(ALL)  /etc/init.d/mysqld
3. start/stop mysql
    3.1) start mysql
        login test
[[email protected] ~]# su test
[[email protected] ~]$ sudo /etc/init.d/mysqld start
    3.2) stop mysql
        login test
[[email protected] ~]# su test
[[email protected] ~]$ sudo /etc/init.d/mysqld stop


例項4:針對tomcat的設定,讓test組中的test使用者具備tomcat操作的許可權
######################## tomcat ################
1.
[[email protected] ~]# groupadd test
[[email protected] ~]# useradd -g test -m -d /home/test -s /bin/bash test
[[email protected] ~]# passwd test
2.
[[email protected] ~]# visudo
    # test ALL=(ALL)  /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
    test ALL=(ALL) NOPASSWD: /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
3.
[[email protected] ~]# vim /usr/local/tomcat/bin/catalina.sh
    ### JDK
    export JAVA_HOME=/usr/local/jdk
    export JRE_HOME=$JAVA_HOME/jre
4. start/stop tomcat
    4.1) start tomcat
        login test
[[email protected] ~]# su test  
[[email protected] ~]$ sudo /usr/local/tomcat/bin/startup.sh
[[email protected] ~]$ ss -ntlup | grep java
[[email protected] ~]$ curl -I http://localhost:8080

    4.2) stop tomcat
        login test
[[email protected] ~]# su test 
[[email protected] ~]$ sudo /usr/local/tomcat/bin/shutdown.sh

相關推薦

sudo配置檔案/etc/sudoers實戰用法

一、sudo執行命令的流程 將當前使用者切換到超級使用者下,或切換到指定的使用者下, 然後以超級使用者或其指定切換到的使用者身份執行命令,執行完成後,直接退回到當前使用者。 具體工作過程如下: 當用戶執行sudo時,系統會主動尋找/etc/sudoers檔案,判斷該使用者是否

Linux hostname主機名配置檔案/etc/hosts

點評:這篇文章為大家介紹linux hostname主機名配置檔案/etc/hosts,包括主機名的用途、配置檔案的操作方法等,有需要的朋友,可以參考下 本文轉自:http://www.jb51.net/LINUXjishu/77329.html 好文章,謝謝分享! 1、

sudo配置檔案實戰

安裝NGINX之後每次都需要切換ROOT使用者做配置檔案修改和啟動,為了加強安全,ROOT使用者一般是不允許直接提供給應用開發人員或者運維人員的,所以需要提供一種方法可以一般使用者執行ROOT使用者下的程式,並且該可執行程式依賴的其他ROOT使用者資源也是可以訪問的。使用chmod命令只能解決指定檔案的非RO

Nginx安裝配置檔案nginx.conf

1、安裝Nginx 在安裝Nginx之前,需確保系統已經安裝了gcc、 openssl-devel、 pcre-devel和zlib-devel軟體庫。 下面是Nginx安裝過程: wget http://nginx.org/download/nginx-1.0.14.tar.gz tar z

配置檔案ehcache.xml(2)— 配置相關

<diskStore>是用來配置ehcache的磁碟儲存的,磁碟儲存可以儲存記憶體中驅除過來的元素,也可以在系統重啟的時候將記憶體中的快取資訊儲存起來,供系統重新啟動後使用。 一、eh

Logback簡介配置檔案logback.xml

# logback簡介及配置檔案說明 > @author:wangyq > > @date:2021年3月31日 ## logback簡介 ​ Logback是由log4j創始人設計的另一個開源日誌元件,官方網站: http://logback.qos.ch。 1. ###### logbac

MySQL配置檔案 my.cnf

MySQL配置檔案 [client] port = 3306   socket = /var/lib/mysql/mysql.sock [mysql] #這個配置段設定啟動MySQL服務的條件;在這種情況下,no-auto-rehash確保這個服務啟動得比較快。 no-a

logback使用與配置檔案logback.xml

一、logback簡介 Logback由log4j創始人設計的另一個開源日誌元件,官網:http://logback.qos.ch。它當前分為下面三模組: logback-core:其它兩個模組的基礎模組 logback-classic:它是log4

配置檔案elasticsearch.yml

在es根目錄下的config目錄中有elasticsearch.yml配置檔案,es載入使用的yml格式配置 17行:cluster.name: 自定義叢集名稱(強烈推薦預設名稱elasticsearch) 解釋:es的執行都是以叢集形式啟動的,預設情況也會有叢集名稱 elasticsearch

SpringMVC和Spring的配置檔案掃描包

其實Spring和SpringMVC是有父子容器關係的,而且正是因為這個才往往會出現包掃描的問題,我們在此來分析和理解Spring和SpringMVC的父子容器關係並且給出Spring和SpringMVC配置檔案中包掃描的官方推薦方式。   在Spring整體框架的核

Mybatis配置檔案解析過程

記錄是一種精神,是加深理解最好的方式之一。 這篇文章能夠幫你 學會如何對Mybatis進行有效配置,理解對應的配置含義,知其然知其所以然。 學會在Mybatis預設實現無法滿足需求的時候怎麼去擴充套件。 從構建SqlSessionFactory說起        

Redis:預設配置檔案redis.conf

# Redis配置檔案樣例 # Note on units: when memory size is needed, it is possible to specifiy # it in the usual form of 1k 5GB 4M and so forth: # # 1k =&g

最完整的Mybatis Generator(簡稱MBG)的最完整配置檔案,帶

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfiguration PUBLIC "-//mybatis.org//DTD MyBatis Generator Configuration 1.0

Maven配置檔案pom.xml(轉)

什麼是POM? POM是專案物件模型(Project Object Model)的簡稱,它是Maven專案中的檔案,使用XML表示,名稱叫做pom.xml。在Maven中,當談到Project的時候,不僅僅是一堆包含程式碼的檔案。一個Project往往包含一個配置檔案,包括了與開發者有關的,缺陷

Maven XML配置檔案最全

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLo

SpringBoot配置檔案-application.properties

本文轉載:http://blog.csdn.net/lpfsuperman/article/details/78287265###; # ----------------------------------------# 核心屬性# -------------------------------------

l配置log4j完成日誌輸出與配置檔案log4j2.xml

一、配置檔案節點解析    (1)根節點Configuration有兩個屬性:status和monitorinterval,有兩個子節點:Appenders和Loggers(表明可以定義多個Appender和Logger). status用來指定log4j本身的列印日誌的級別.

AccessibilityService 服務配置檔案的內容(一)

AccessibilityService_canRequestEnhancedWebAccessibility int AccessibilityService_canRequestEnhancedWebAccessibility Attribute whether the accessibility

Axis2 Web服務配置檔案services.xml

在Axis1中部署服務時,我們使用service.wsdd檔案來配置服務。在Axis2中,不再使用service.wsdd檔案來配置服務,改用services.xml了。這兩個配置檔案的語法是截然不同的。     本文涵蓋了services.xml檔案的語法和使用說明。在A

Redis配置檔案redis.conf --aof&rdb

Redis配置檔案redis.conf 詳解 1.基本配置 記憶體單位的表示 # 1k => 1000 bytes # 1kb => 1024 bytes # 1m => 1000000 bytes # 1mb => 1024*1024 by