sudo:控制用户对系统命令的使用权限,root允许的操作。通过sudo可以提高普通用户的操作权限,不过这个权限是需要进行配置才可使用。

常用的命令展示

配置sudo的2种方式

1. visodu  编辑
   visudo: 编辑sudo配置文件(相当于 vi /etc/sudoers,但是不建议用,注意检查语法) 
       visudo      编辑/etc/sudoers命令  ->98行                         
       visudo -c   检查语法命令,有报错可能导致系统起不来,所以编辑之前需要备份,编辑后最好检查一下用法      
  ll   /etc/sudoers  这个是一个权限很小的文件(440)
2. vi /etc/sudoers(98gg 可以快速跳转)  但是visudo功能更强大
Syntax:    user    MACHINE=COMMANDS      # sudo 语法

root    ALL=(ALL)       ALL              #  (All)表示允许用户以哪个用户的权限做事情

omd     ALL=(ALL)       ALL              #  omd用户在任何机器上,可以只需任何用户的任何命令 == root用户

omd     ALL=(ALL)     NOPASSWD: ALL      #  免密而且omd用户在任何机器上,可以只需任何用户的任何命令

ftl     ALL=(ALL)   /bin/cp,/bin/touch   # 只允许ftl用户只需root用户的cp,touch命令

取消sudo必须需要tty才能执行的限制

 编辑 /etc/sudoers ,找到 Defaults    requiretty, 然后注释掉这行:

: /etc/sudoers  这个是一个权限很小的文件(440)

sudo基本的操作

sudo omd ifconfig    ==>omd用户只需root权限需要输入密码

[test@oldboy ~] $ sudo su - omd

    # 通过test用户切换到omd,所以此时输入的是test用户的密码

    test用户下:su - root -c "ifconfig"   需要输入密码常用的参数:

sudo常用参数:

     -l : 登录用户下面,执行sudo -l  显示当前用户有哪些权限

     -k :删除/var/db/sudo/下面对应的时间戳的信息,下次执行sudo需要输入当前用户的密码

                --> 系统默认也是5分钟失效

                --> 配置免密是另一种情况  NOPASSWD: ALL远程sudo(有条件限制的)

sudo的原创操作:    
     ssh –p lemFTL@HHH omd@10.105.163.162 sudo ls /root

sudo别名的应用

1.主机别名

    # Host_Alias     FILESERVERS = fs1, fs2       -->注意逗号,空格

    # Host_Alias     MAILSERVERS = smtp, smtp2      -->注意逗号,空格

2.用户别名

    # User_Alias ADMINS = jsmith, mikem,%omd  -->omd的用户组添加上去

3.命令别名

    # Cmnd_Alias NETWORKING = /sbin/route, /sbin/iwconfig, /sbin/mii-tool

4.角色别名   -->运行时可以切换的角色

    #Runas_Alias OP = root,omd

5.实例

     user            MACHINE                         COMMANDS

    ADMINS     FILESERVERS=(Runas_Alias)            ALL

      包含2个用户的ADMINS

      可以再包含2个机器的FILESERVERS

      切换到包含2个角色别名Runas_Alias的服务器上,

      执行包含3个命令的Cmnd_Alias

另:不切换用户而直接执行命令:

sudo原理

普通用户运行sudo -> 检查/var/db/sudo/下是否有时间戳文件(执行成功后会创建,且免密5分钟),并检查是否已经过期
                   
未过期    ->
检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
                               
->有权限 ->执行命令并且返回结果 ->退出
                                ->无权限
->退出
                      过期  -> 输入当前用户自己的口令
->检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
                               
->有权限 ->执行命令并且返回结果 ->退出
                                ->无权限
->退出

sudo配置的注意事项

1.命令别名下的成员必须是文件或者是目录的绝对路径
    2.别名是包含大写字母,数字,下划线,如果是字母就必须全部大写
   
3.一个别名下有多个成员,成员与成员之间必须使用逗号分隔,且成员必须有效的存在
   
4.别名成员受Host_Alias,User_Alias,Cmnd_Alias,Runas_Alias别名类型制约,定义什么类型的别名,就要有什么类型的成员匹配
   
5.别名规则是每行算一个规则,如果一个别名规则一行容不下是,可以通过“\”来续行
   
6.指定切换的用户要用()括起来,如果省略括号,默认是root   
    7.如果不需要输入密码可以输入NOPASSWD:ALL
   
8.禁止的命令可以通过!来进行限制,根据测试,先执行后面的命令,
        所以禁止的命令必须放在允许执行的命令的后面
   
9.用户组前面必须用%号   
    10.所有的授权ALL字符都必须是大写
   
11.允许执行的命令都是有顺序的,命令的顺序是从后向前生效
        所以禁止的命令尽量向后放

sudo管理的2个文件

/var/db/sudo/
    /etc/sudoers
    man sudo
    man
sudoers

sudo实例--企业生产环境用户权限集中管理方案实例

【更多参考】sudo实例--企业生产环境用户权限集中管理方案实例

visudo的参数

The options are as follows:

     -c          Enable check-only mode.  The existing sudoers file will be checked for syntax errors, owner

                 and mode.  A message will be printed to the standard output describing the status of

     -c          Enable check-only mode.  The existing sudoers file will be checked for syntax errors, owner

                 and mode.  A message will be printed to the standard output describing the status of

                 sudoers unless the -q option was specified.  If the check completes successfully, visudo

                 will exit with a value of 0.  If an error is encountered, visudo will exit with a value of

                 1.

     -f sudoers  Specify and alternate sudoers file location.  With this option visudo will edit (or check)

                 the sudoers file of your choice, instead of the default, /etc/sudoers.  The lock file used

                 is the specified sudoers file with “.tmp” appended to it.  In check-only mode only, the

                 argument to -f may be ‘-’, indicating that sudoers will be read from the standard input.

     -h          The -h (help) option causes visudo to print a short help message to the standard output and

                 exit.

     -q          Enable quiet mode.  In this mode details about syntax errors are not printed.  This option

                 is only useful when combined with the -c option.

     -s          Enable strict checking of the sudoers file.  If an alias is used before it is defined,

                 visudo will consider this a parse error.  Note that it is not possible to differentiate

                 between an alias and a host name or user name that consists solely of uppercase letters,

                 digits, and the underscore (‘_’) character.

     -V          The -V (version) option causes visudo to print its version number and exit.

Linux sudo详解的更多相关文章

  1. Linux sudo 详解

    简单的说,sudo 是一种权限管理机制,管理员可以授权于一些普通用户去执行一些 root 执行的操作,而不需要知道 root 的密码.严谨些说,sudo 允许一个已授权用户以超级用户或者其它用户的角色 ...

  2. Linux 系统结构详解

    Linux 系统结构详解 Linux系统一般有4个主要部分: 内核.shell.文件系统和应用程序.内核.shell和文件系统一起形成了基本的操作系统结构,它们使得用户可以运行程序.管理文件并使用系统 ...

  3. Linux 目录详解 树状目录结构图

    1.树状目录结构图 2./目录 目录 描述 / 第一层次结构的根.整个文件系统层次结构的根目录. /bin/ 需要在单用户模式可用的必要命令(可执行文件):面向所有用户,例如:cat.ls.cp,和/ ...

  4. Linux命令详解之—tail命令

    tail命令也是一个非常常用的文件查看类的命令,今天就为大家介绍下Linux tail命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux tail命令主要用来从指定点开始将文 ...

  5. Linux命令详解之—less命令

    Linux下还有一个与more命令非常类似的命令--less命令,相比于more命令,less命令更加灵活强大一些,今天就给大家介绍下Linux下的less命令. 更多Linux命令详情请看:Linu ...

  6. Linux命令详解之—more命令

    Linux more命令同cat命令一样,多用来查看文件内容,本文就为大家介绍下Linux more命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux的more命令类似 ca ...

  7. 【转】linux命令详解:md5sum命令

    [转]linux命令详解:md5sum命令 转自:http://blog.itpub.net/29320885/viewspace-1710218/ 前言 在网络传输.设备之间转存.复制大文件等时,可 ...

  8. Linux命令详解之—cat命令

    cat命令的功能是连接文件或标准输入并打印,今天就为大家介绍下Linux中的cat命令. 更多Linux命令详情请看:Linux命令速查手册 Linux 的cat命令通常用来显示文件内容,也可以用来将 ...

  9. Linux命令详解之—pwd命令

    Linux的pwd命令也是一个非常常用的命令,本文为大家介绍下Linux中pwd命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux pwd命令用于显示工作目录. 执行pwd指 ...

随机推荐

  1. redis-redisTemplate模糊匹配删除

    前几天需要一个模糊删除redis中key的功能, 没有多想,  直接 String key = "noteUserListenedPoi:*"; redisTemplate.del ...

  2. C++对象的内存布局以及虚函数表和虚基表

    C++对象的内存布局以及虚函数表和虚基表 本文为整理文章, 参考: http://blog.csdn.net/haoel/article/details/3081328 http://blog.csd ...

  3. prometheus安装、使用

    本文主要参考https://songjiayang.gitbooks.io/prometheus/introduction/what.html 二进制包安装 我们可以到 Prometheus 二进制下 ...

  4. 原生js实现拖动滑块验证

    拖动滑块验证是现在的网站随处可见的,各式各样的拖动法都有. 下面实现的是某宝的拖动滑块验证: <!DOCTYPE html> <html lang="en"> ...

  5. 二维码ZBar之ZBarReaderView

    参考:http://www.chinatarena.com/Html/iospeixun/201301/3985.html   http://blog.csdn.net/chenyong05314/a ...

  6. SqlDataReader的关闭问题,报错:“阅读器关闭时尝试调用 Read 无效”

    SqlDataReader dr = cmd.ExecuteReader(CommandBehavior.CloseConnection);//关闭SqlDataReader 会自动关闭Sqlconn ...

  7. Spring----最小化Spring配置

    在Spring的配置文件中,我们可以使用<bean>元素定义Bean,以及使用<constructor-arg>或着<property>元素装配bean,这对于包含 ...

  8. 【转】SQL SERVER 日期格式化

    0   或   100   (*)     默认值   mon   dd   yyyy   hh:miAM(或   PM)       1   101   美国   mm/dd/yyyy       ...

  9. jsonp跨域简单应用(一)

    转载:http://www.cnblogs.com/cyg17173/p/5865364.html ashx+jsonp+document.referrer   -- 一年前学的JSONP 跨域,一年 ...

  10. [PHP] Yaf框架的简单安装使用

    PHP开发组鸟哥惠新宸开发的php扩展框架 安装 windows下载扩展:https://pecl.php.net/package/yaf/2.2.9/windows 根据自己的电脑系统和php的版本 ...