『学了就忘』Linux权限管理

1、什么是sudo授权
2、 sudo授权说明
3、sudo命令的使用
- 示例1
- 示例2
- 示例3

1、什么是sudo授权

在Linux系统中，/sbin/和/usr/sbin/两个目录中的命令只有超级用户才能使用。sudo授权就是把指定的命令授权给普通用户，让普通用户可以执行指定的命令。（只给用户授权执行一个命令的权限）

原则上：

赋予的权限越详细，普通用户得到的权限越小。

赋予的权限越简单，普通用户得到的权限越大。

2、 sudo授权说明

root身份操作：使用visudo命令，赋予普通用户权限命令。

# 用户名 被管理主机的地址(IP地址)=(可使用的身份) 授权命令(绝对路径)

root    ALL=(ALL)  ALL

# 组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

%wheel    ALL=(ALL)  ALL

# (组名前边要加上%)

说明：

用户名/组名：代表root给哪个用户或用户组赋予命令，注意组名前加%。
被管理主机的地址：这里的IP地址管理的不是登录者来源的IP地址，这里的IP指定的是用户可以管理哪个IP地址的服务器。那么如果你是一台独立的服务器，这里写ALL和你服务器的IP地址，作用是一样的。如果写ALL，代表可以管理任何主机，如果我们这里写本机的IP地址，不代表只允许本机的用户使用指定命令，而代表指定的用户可以从任何IP地址来管理当前服务器。（这里记住写ALL就可以了）
可使用身份：就是把来源用户切换成什么身份使用（就是把前面用户的身份，切换成什么身份），（ALL）代表可以切换成任意身份，包括root。这个字段可以省略，代表切换成root。
授权命令：代表root把什么命令授权给普通用户。默认是ALL，代表任何命令，这个当然不行，赋予的权限越详细，普通用户得到的权限越小。不过需要注意，命令一定要写成绝对路径。

3、sudo命令的使用

示例1

需求：比如授权用户user1可以重启服务器。

普通用户是无法重启服务器的，因为没有这个命令的权限。

[userl@localhost ~]$ shutdown -r now

shutdown: Need to be root

由root用户添加如下行：

执行执行visudo命令，赋予普通用户权限。

[root@localhost ~]# visudo

user1  ALL=(省略不写)/sbin/shutdown -r now (whereis查一下)

# 查看可用的授权

[user1@localhost ~]$ sudo -1

查看结果如下图：

上图中蓝框前边的（root），是因为我上边配置的时候省略了等号后边的赋值，默认切换成root用户，如果我配置成ALL，（root）位置会显示成ALL。（root和ALL效果上都一样）

还要注意一点，如果编辑授权内容是user1 ALL=/sbin/shutdown，代表user1用户可以使用shutdown命令所有的参数，如-r重启，-h关机。所以就向上面的说赋予的权限越详细，普通用户得到的权限越小。

注意：配置sudo授权，不需要重启服务器，保存退出即可。

普通用户如何执行呢？

普通用户直接使用shutdown命令是不行的，需要使用sudo /sbin/shutdown -r now，才能执行。注意要使用shutdown命令的绝对路径。如下图所示：

示例2

需求：我想授权一个用户管理我的Web服务器，以后修改设置更新网页什么都不用管。

首先要分析授权用户管理Apache，至少要实现哪些基本授权：

可以使用Apache管理脚本。
可以修改Apache配置文件。
可以更新网页内容。

剩下的解决不了，再来找我就行了。

假设Aapche管理脚本程序为/etc/rc.d/init.d/httpd（举例的是RPM包安装的Apache）。

条件一，用visudo命令进行授权：

[root@localhost ~]# visudo 

# 编辑内容

user1  192.168.0.156(写ALL一样)=/etc/rc.d/init.d/httpd reload

扩展：

reload：是重新加载配置文件的命令。如果你正在访问服务器，比如下载，先不会关闭服务器，会等你访问完成后再重启服务器。（起作用时间有时候会比较长）

restart：重启，先把服务关了，再进行重启。如果有人正在你的服务器下程序，也直接断了。（但是常用）

授权用户user1可以连接192.168.0.156上的Apache服务器，通过Apache管理脚本重新读取配置文件，让更改的设置生效（reload），但不允许其执行关闭（stop）、重启（restart）等操作。

条件二，同样使用visudo授权：

授权用户user1可以用root身份使用vim编辑器，编辑Apache配置文件。

[root@localhost ~]# visudo

user1 192.168.0.156=/usr/bin/vim  /etc/httpd/conf/httpd.conf

以上两种sudo的设置，要特别注意，使用sudo会犯两个错误：

第一，授权命令没有细化到选项和参数。

第二，认为只能授权管理员执行的命令。

条件三：则比较简单，假设网页存放目录为/var/www/html，则只需要授权user1对此目录具有写权限或者索性更改目录所有者为user1即可。

示例3

需求：授权aa用户可以添加其他普通用户

[root@localhost ~]# visudo

# 赋予aa添加用户权限，命令必须写入绝对路径

aa ALL=/usr/sbin/useradd

# 赋予改密码权限

aa ALL=/usr/bin/passwd 

# 取消对root用户的密码修改

aa ALL=/usr/bin/passwd [A-Za-z]*，（逗号后一定要有一个空格）！/usr/bin/passwd""， ！/usr/bin/passwd root

说明：

[A-Za-z]*：正则表达式，表示任意字母任意重复多次。
！/usr/bin/passwd" "：表示不能在passwd命令后加空。因为passwd命令后什么都不加，表示修改当前用户密码，因为sudo授权passwd命令给user1用户，当user1用户执行passwd命令时的身份时root，所以也是修改root用户的密码。
！/usr/bin/passwd root ：表示禁止在passwd命令后加root。
以上三个条件的顺序也不能改变，测试改变顺序好像不太好用了。
注意：有多个权限的时候用逗号隔开。

普通用户使用sudo命令执行添加新用户命令：sudo /usr/sbin/useradd ee。