17_03sudo详解

2015-03-25

参考文档：

https://wiki.archlinux.org/index.php/Sudo_%28%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%29（有比较详细的使用介绍）

1
2
3

/etc/sudoers
visudo

当调用sudo，会在接下来5分钟内可以不再输入密码，这样却带来一个问题，就是别人
在这个时间点内用你的帐号修改信息，所以可以加入-k选项。即：

$sudo -k

再调用sudo,不管调用多少次，都需要输入密码

sudo命令:

-l:列出当前用户可以使用的所有sudo类命令
-k:如上所示，调用sudo不保存密码，即让认证信息失败
-u:后跟username，以制定用户的身份执行命令(root除外)

一个sudo条目:

1
2
3

who    which_hosts(runas)    Tag:command

root    ALL=(ALL)    ALL

表示root用户可以在任何主机上运行所有命令

如果只想允许以某个主机名登录用户执行命令：
用户名主机名=(ALL) ALL

允许wheel用户组成员无密码使用sudo：
%wheel ALL=(ALL) NOPASSWD: ALL

who:User_Alias
which_hosts:Host_Alias
runas:Runas_Alias
Tag:NOPASSWD,用户不再需要输入密码 PASSWD：需要输入密码(针对单个命令定义)
commmand:Command_Alias

别名：类似定义组

1	#man sudoers

别名必须全部而且只能使用大写英文字母的组合

用户别名:
User_Alias USERADMIN=

系统用户的用户名
组名:使用%引导
还可以包含其他已经用户别名

Host_Alias:

主机名
IP
网络地址
其他主机别名

Runas_Alias:

用户名
%组名
其他的Runas别名

Cmnd_Alias:

命令绝对路径
目录(此目录所有命令)
其他事先定义过的命令别名

练习

hadoop,root,useradd,usermod
#visudo

1 2	hadoop ALL=(root) /usr/sbin/useradd /usr/sbin/usermod $sudo useradd xiaosan

即可成功

定义一个用户别名（hadoop,hadoop组，useradmin组），命令别名：

User_Alias USERADMIN = hadoop,%hadoop,%useradmin
Cmnd_Alias USERADMINCMND  = /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*， !/usr/bin/passwd root 

USERADMIN    ALL=(root)    NOPASSWD:USERADMINCMND


Cmnd_Alias WHEELER = /usr/sbin/lsof, /bin/nice, /bin/ps, /usr/bin/top, /usr/local/bin/nano, /usr/sbin/ss, /usr/bin/locate, /usr/bin/find, /usr/bin/rsync
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/nice, /usr/bin/ionice, /usr/bin/top, /usr/bin/kill, /usr/bin/killall, /usr/bin/ps, /usr/bin/pkill
Cmnd_Alias EDITS = /usr/bin/vim, /usr/bin/nano, /usr/bin/cat, /usr/bin/vi
Cmnd_Alias ARCHLINUX = /usr/sbin/gparted, /usr/bin/pacman

root ALL = (ALL) ALL
yourusename ALL = (ALL) ALL, NOPASSWD: WHEELER, NOPASSWD: PROCESSES, NOPASSWD: ARCHLINUX, NOPASSWD: EDITS

/var/log/secure 记录了详细信息

注意日志的安全性