35、sudo权限设置

提示：sudo的介绍在“13、linux中用户和用户组”中有详细介绍；

（1）简历里要加上如下项目经验：

服务器用户权限管理改造方案与实施项目 日期；

在了解公司业务流程后，提出权限整改解决方案改进公司超级权限root泛滥的现状；

我搜集填写了方案后，给老大看，取得老大的支持后，召集大家开会讨论；

讨论确定可行后，由我负责推进实施；

实施后效果，公司服务器权限管理更加清晰了；

制定了账号权限申请流程及权限申请表格；

（2）企业案例：

（3）真实企业环境：

（4）用户权限分配：

1）批量创建用户：

[root@centos6 ~]# for user in chuji001 chuji003 yunweijingli kf_admin

> do

> useradd $user

> echo "111111" | passwd --stidn $user

> done

2）编辑visudo

#sudo用户使用sudo命令操作时的日志文件;

Defaults logfile=/var/log/sudo.log

#定义可以使用sudo命令的用户，后面用“,”接其它用户；

User_Alias CY_ADMINS=chuji001

User_Alias GY_ADMINS=chuji003

User_Alias ADMINS=kf_admin

#设置sudo用户操作时使用的用户(不设置时，默认使用的是root用户)：

Runas_Alias OP=root

#设置sudo用户可以获得操作时使用用户的权限：

Cmnd_Alias CY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifconfig, /bin/netstat, /sbin/route

Cmnd_Alias GY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifcofnig, /bin/netstat, /sbin/route, /sbin/iptables, /etc/init.d/network, /bin/nice, \

/bin/kill, /usr/bin/kill, /usr/bin/killall, /bin/rpm, /usr/bin/up2date, /usr/bin/yum, /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount, /sbin/service

Cmnd_Alias CMD=ALL, !/usr/bin/passwd [A-Za-z]*, !/usr/bin/visudo, !/usr/bin/vi *sudoer*, !/bin/su -root, !/usr/sbin/useradd *

#（不能删除sudoers）（不建议权限给ALL权限，难控制）

#总体设置生效：

CY_ADMINS ALL=(OP) NOPASSWD:CY_CMD_1

GY_ADMINS ALL=(OP) NOPASSWD:GY_CMD_1

ADMINS ALL=(OP) NOPASSWD:CMD

yunweijingli ALL=(ALL) NOPASSWD:ALL

（5）注意事项：