Linux--sudo权限讲解

---

sudo简介：sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。sudo不是对shell的一个代替，它是面向每个命令的

基本操作

[root@localhost /]# useradd Daniel #创建一个用户
[root@localhost /]# passwd Daniel  #设置密码
[root@localhost /]# su Daniel  #切换用户到Daniel
bash-4.1$  #切换成功 

#给权限
#Linux sudo命令以系统管理者的身份执行指令，也就是说，经由 sudo 所执行的指令就好像是 root 亲自执行。
#使用权限：在 /etc/sudoers 中有出现的使用者。这里可以直接修改sudoers，也可以额使用visudo，推荐使用visudo，可以判断你的语法是否正确

root@localhost /]# visudo
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
Daniel  ALL=(ALL)       ALL       #这是我们新添加的一行，意思是Daniel这个用户，可以使用所有的命令，使用单个命令(比如useradd)，可以将ALL改成/user/sbin/add

#测试
-bash-4.1$ ls /root/
ls: 无法打开目录/root/: 权限不够
-bash-4.1$ sudo ls /root/
[sudo] password for Daniel:    #sudo后输入Daniel的密码即可
anaconda-ks.cfg  install.log  install.log.syslog

#现在让我们来看一下那三个ALL到底是什么意思。第一个ALL是指网络中的主机，可以将它改成localhost=，它指明foobar可以在此主机上执行后面的命令。第二个括号里的ALL是指目标用户，也就是以谁的身份去执行命令。最后一个ALL当然就是指命令名了。例如，我们想让Danielr用户在linux主机上以jimmy或rene的身份执行kill命令，这样编写配置文件：
Daniel   linux=(jimmy,rene)    /bin/kill
#但这还有个问题，Daniel到底以jimmy还是rene的身份执行？这时我们应该想到了sudo -u了，它正是用在这种时候。 Daniel可以使用sudo -u jimmy kill PID或者sudo -u rene kill PID，但这样挺麻烦，其实我们可以不必每次加-u，把rene或jimmy设为默认的目标用户即可。再在上面加一行：
Defaults:foobar    runas_default=rene
Defaults后面如果有冒号，是对后面用户的默认，如果没有，则是对所有用户的默认。就像配置文件中自带的一行：
Defaults    env_reset

　　

别名

#别名类型
1）Host_Alis定义主机别名
Host_Alias    WEBSERVERS = web1, web2  #WEBSERVERS是主机组，web1,web2是主机 #每个主机使用逗号分隔逗号后面有空格，=号两边也有空格，主机组就是别名，可以用这个别名来限制，主机就是在第一个ALL位置，可以定义很多这样的别名，每个别名可以当做一个主机组，平常很少用到
#正在生产场景中，一般情况不需要设置主机别名，在定义授权规则时可以通过ALL来匹配所有的主机

2）User_Alias定义用户别名
#别名成员可以是用户，用户组（用户组前面要加%号）
User_Alias ADMINS = Daniel, qwer, %groupname
#假如说用户Daniel,qwer和用户组%groupname都有一样的权限，那么直接就可以使用别名ADMINS限制了，后期如果要增加一个同样权限的用户或组，直接在后面加上即可
#引用位置Daniel ALL=(ALL)  ALL ALL #Daniel就是用户别名的引用位置

3）Runas_Alias定义runas别名
#这个别名指定的是“用户身份”，即sudo允许切换到的用户
#Runas-Alias定义的是某个系统用户可以执行sudo切换身份到Runas_Alias下包含的成员身份
#语法
Runas_Alias OP = root
#引用位置：括号里的那个ALL。表示使用sudo的时候是使用的OP身份来使用的（也就是root）

4）Cmnd_Alias定义命令别名
#命令别名就是定义一个可以把汗一对命令的名字
Cmnd_Alias  NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /usr/bin/net, /sbin/iptables
#引用位置：最后一个ALL。定义完成后，可以放在最后一个ALL位置，授权后，该用户或组就可以通过sudo来使用这些命令了

#完整定义
#User_Alias by Daniel
User_Alias    ADMINS = admin, Daniel, %admins
User_Alias    NETADMINS = netadmin, %netadmins
User_Alias    USERADMINS = useradmin

#Cmnd_Alias by Daniel
Cmnd_Alias    USERCMD = /usr/sbin/useradd, /usr/sbin/userdel, /user/bin/passwd [A-Za-z]*, /bin/chown, /bin/chmod
Cmnd_Alias    DISKCMD = /sbin/fdisk, /sbin/parted
Cmnd_Alias    NETCMD  = /sbin/ifconfig, /etc/init.d/network
Cmnd_Alias    CTRLCMD = /usr/sbin/reboot, /usr/sbin/halt

Runnas_Alias    OP = root, Daniel

##
ADMINS    ALL=(ALL)    USERCMD, NETCMD, CTRLCMD
NETADMINS    ALL=(OP)    NOPASSWD: NETCMD
USERADMINS    ALL=(OP)    NOPASSWD:  USERCMD #NOPASSWD,表示输入完一次后不需要在输入密码了，默认是输入完毕后，五分钟内不需要在输入

　　

---