sudo:控制用户对系统命令的使用权限,root允许的操作。通过sudo可以提高普通用户的操作权限,不过这个权限是需要进行配置才可使用。

常用的命令展示

配置sudo的2种方式

1. visodu  编辑
   visudo: 编辑sudo配置文件(相当于 vi /etc/sudoers,但是不建议用,注意检查语法) 
       visudo      编辑/etc/sudoers命令  ->98行                         
       visudo -c   检查语法命令,有报错可能导致系统起不来,所以编辑之前需要备份,编辑后最好检查一下用法      
  ll   /etc/sudoers  这个是一个权限很小的文件(440)
2. vi /etc/sudoers(98gg 可以快速跳转)  但是visudo功能更强大
Syntax:    user    MACHINE=COMMANDS      # sudo 语法
root ALL=(ALL) ALL # (All)表示允许用户以哪个用户的权限做事情
omd ALL=(ALL) ALL # omd用户在任何机器上,可以只需任何用户的任何命令 == root用户
omd ALL=(ALL) NOPASSWD: ALL # 免密而且omd用户在任何机器上,可以只需任何用户的任何命令
ftl ALL=(ALL) /bin/cp,/bin/touch # 只允许ftl用户只需root用户的cp,touch命令

取消sudo必须需要tty才能执行的限制

 编辑 /etc/sudoers ,找到 Defaults    requiretty, 然后注释掉这行: 

: /etc/sudoers  这个是一个权限很小的文件(440)

sudo基本的操作

sudo omd ifconfig    ==>omd用户只需root权限需要输入密码
[test@oldboy ~] $ sudo su - omd
# 通过test用户切换到omd,所以此时输入的是test用户的密码
test用户下:su - root -c "ifconfig" 需要输入密码常用的参数:
sudo常用参数:
-l : 登录用户下面,执行sudo -l 显示当前用户有哪些权限
-k :删除/var/db/sudo/下面对应的时间戳的信息,下次执行sudo需要输入当前用户的密码
--> 系统默认也是5分钟失效
--> 配置免密是另一种情况 NOPASSWD: ALL远程sudo(有条件限制的)
sudo的原创操作:
ssh –p lemFTL@HHH omd@10.105.163.162 sudo ls /root

sudo别名的应用

1.主机别名

    # Host_Alias     FILESERVERS = fs1, fs2       -->注意逗号,空格
# Host_Alias MAILSERVERS = smtp, smtp2 -->注意逗号,空格
2.用户别名
# User_Alias ADMINS = jsmith, mikem,%omd -->omd的用户组添加上去
3.命令别名
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/iwconfig, /sbin/mii-tool
4.角色别名 -->运行时可以切换的角色
#Runas_Alias OP = root,omd
5.实例
user MACHINE COMMANDS
ADMINS FILESERVERS=(Runas_Alias) ALL
包含2个用户的ADMINS
可以再包含2个机器的FILESERVERS
切换到包含2个角色别名Runas_Alias的服务器上,
执行包含3个命令的Cmnd_Alias
另:不切换用户而直接执行命令:

sudo原理

普通用户运行sudo -> 检查/var/db/sudo/下是否有时间戳文件(执行成功后会创建,且免密5分钟),并检查是否已经过期
                   
未过期    ->
检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
                               
->有权限 ->执行命令并且返回结果 ->退出
                                ->无权限
->退出
                      过期  -> 输入当前用户自己的口令
->检查/etc/sudoers里面是否配置了运行sudo和执行相应命令的权限
                               
->有权限 ->执行命令并且返回结果 ->退出
                                ->无权限
->退出

sudo配置的注意事项

1.命令别名下的成员必须是文件或者是目录的绝对路径
    2.别名是包含大写字母,数字,下划线,如果是字母就必须全部大写
   
3.一个别名下有多个成员,成员与成员之间必须使用逗号分隔,且成员必须有效的存在
   
4.别名成员受Host_Alias,User_Alias,Cmnd_Alias,Runas_Alias别名类型制约,定义什么类型的别名,就要有什么类型的成员匹配
   
5.别名规则是每行算一个规则,如果一个别名规则一行容不下是,可以通过“\”来续行
   
6.指定切换的用户要用()括起来,如果省略括号,默认是root   
    7.如果不需要输入密码可以输入NOPASSWD:ALL
   
8.禁止的命令可以通过!来进行限制,根据测试,先执行后面的命令,
        所以禁止的命令必须放在允许执行的命令的后面
   
9.用户组前面必须用%号   
    10.所有的授权ALL字符都必须是大写
   
11.允许执行的命令都是有顺序的,命令的顺序是从后向前生效
        所以禁止的命令尽量向后放

sudo管理的2个文件

/var/db/sudo/
    /etc/sudoers
    man sudo
    man
sudoers

sudo实例--企业生产环境用户权限集中管理方案实例

【更多参考】sudo实例--企业生产环境用户权限集中管理方案实例

visudo的参数

The options are as follows:

     -c          Enable check-only mode.  The existing sudoers file will be checked for syntax errors, owner
and mode. A message will be printed to the standard output describing the status of
-c Enable check-only mode. The existing sudoers file will be checked for syntax errors, owner
and mode. A message will be printed to the standard output describing the status of
sudoers unless the -q option was specified. If the check completes successfully, visudo
will exit with a value of 0. If an error is encountered, visudo will exit with a value of
1. -f sudoers Specify and alternate sudoers file location. With this option visudo will edit (or check)
the sudoers file of your choice, instead of the default, /etc/sudoers. The lock file used
is the specified sudoers file with “.tmp” appended to it. In check-only mode only, the
argument to -f may be ‘-’, indicating that sudoers will be read from the standard input. -h The -h (help) option causes visudo to print a short help message to the standard output and
exit. -q Enable quiet mode. In this mode details about syntax errors are not printed. This option
is only useful when combined with the -c option. -s Enable strict checking of the sudoers file. If an alias is used before it is defined,
visudo will consider this a parse error. Note that it is not possible to differentiate
between an alias and a host name or user name that consists solely of uppercase letters,
digits, and the underscore (‘_’) character. -V The -V (version) option causes visudo to print its version number and exit.

Linux sudo详解的更多相关文章

  1. Linux sudo 详解

    简单的说,sudo 是一种权限管理机制,管理员可以授权于一些普通用户去执行一些 root 执行的操作,而不需要知道 root 的密码.严谨些说,sudo 允许一个已授权用户以超级用户或者其它用户的角色 ...

  2. Linux 系统结构详解

    Linux 系统结构详解 Linux系统一般有4个主要部分: 内核.shell.文件系统和应用程序.内核.shell和文件系统一起形成了基本的操作系统结构,它们使得用户可以运行程序.管理文件并使用系统 ...

  3. Linux 目录详解 树状目录结构图

    1.树状目录结构图 2./目录 目录 描述 / 第一层次结构的根.整个文件系统层次结构的根目录. /bin/ 需要在单用户模式可用的必要命令(可执行文件):面向所有用户,例如:cat.ls.cp,和/ ...

  4. Linux命令详解之—tail命令

    tail命令也是一个非常常用的文件查看类的命令,今天就为大家介绍下Linux tail命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux tail命令主要用来从指定点开始将文 ...

  5. Linux命令详解之—less命令

    Linux下还有一个与more命令非常类似的命令--less命令,相比于more命令,less命令更加灵活强大一些,今天就给大家介绍下Linux下的less命令. 更多Linux命令详情请看:Linu ...

  6. Linux命令详解之—more命令

    Linux more命令同cat命令一样,多用来查看文件内容,本文就为大家介绍下Linux more命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux的more命令类似 ca ...

  7. 【转】linux命令详解:md5sum命令

    [转]linux命令详解:md5sum命令 转自:http://blog.itpub.net/29320885/viewspace-1710218/ 前言 在网络传输.设备之间转存.复制大文件等时,可 ...

  8. Linux命令详解之—cat命令

    cat命令的功能是连接文件或标准输入并打印,今天就为大家介绍下Linux中的cat命令. 更多Linux命令详情请看:Linux命令速查手册 Linux 的cat命令通常用来显示文件内容,也可以用来将 ...

  9. Linux命令详解之—pwd命令

    Linux的pwd命令也是一个非常常用的命令,本文为大家介绍下Linux中pwd命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux pwd命令用于显示工作目录. 执行pwd指 ...

随机推荐

  1. WPF的ControlTemplate和DataTemplate简介

    首先理清几个概念,Template.ControlTemplate.ContentTemplate.DataTemplate.ContentControl 这几个东西名字都差不多,意思感觉也接近,初次 ...

  2. php在浏览器禁止cookie后,仍然能使用session的方法

    1.a.php页面 session_start(); $_SESSION['msg'] = "i love you"; $sn = session_id();//获取当前sessi ...

  3. 开启Apache Server Status

    开启Apache Server Status 发布时间:August 1, 2008 分类:Apache <DdZend工具提供下载> <PHP中MD5函数效率> Apache ...

  4. SpringMVC源码阅读:定位Controller

    1.前言 SpringMVC是目前J2EE平台的主流Web框架,不熟悉的园友可以看SpringMVC源码阅读入门,它交代了SpringMVC的基础知识和源码阅读的技巧 本文将通过源码分析,弄清楚Spr ...

  5. Thinkphp 3.2.3配置百度编辑器(UEditor)

    Thinkphp 3.2.3配置百度编辑器(UEditor) 1.把百度编辑器放到项目的Public目录下 命名为:UEditor 2.找到thinkphp框架系统自带类中的Html.class.ph ...

  6. Python描述符(__get__,__set__,__delete__)简介

    先说定义,这里直接翻译官方英文文档: 一般来说,描述符是具有“绑定行为”的对象属性,该对象的属性访问将会被描述符协议中的方法覆盖.这些方法是__get__(),__set__(),和__delete_ ...

  7. Head First Python学习笔记4——处理数据

    有这么几组数据需要你处理: James 2-34,3:21,2.34,2.45,3.01,2:01,2:01,3:10,2-22 Julia 2.59,2.11,2:11,2:23,3-10,2-23 ...

  8. 三:vim常用快捷键

    窗口移动操作: j或者Ctrl+e(就是Ctrl+e):向下细微滚动窗口. k或者Ctrl+y:向上细微滚动窗口. h:向左细微滚动窗口. l:向右细微滚动窗口. gg:跳转到页面的顶部. G(就是s ...

  9. XML序列化与REST WCF Data Contract匹配时遇到的2个问题

    问题一: XML序列化与RESTful WCF Data Contract不能匹配,无法传递类的值. 现象: 给类加上[Serializable]Attribute,可以成功序列化,但是WCF Ser ...

  10. 前端学习之HTML(1)

    HTML标签学习 2018-10-31 记录一下学习的网站 http://www.w3school.com.cn http://www.runoob.com/ <!DOCTYPE html> ...