Sudo的用法和Visudo设置

身为程序员，你可以活在一个没有Windows的世界，当你离不开Unix（Linux，Mac。。。）。而在Unix下面，你离不开terminal，离不开sudo。

你知道sudo command，然后输入密码，就可以以root的身份执行command。如果接触的更多一点，你或许知道sudo给你的权限不是自动给你的。如果你在一个Linux系统上增加了一个用户，你需要先以root的身份做一些设置，然后才能执行sudo命令。

这些设置，就是运行visudo，它会打开一个文件，然后我们在里面添加一些东西，这个过程很简单，因为这个文件的内容不多，而且有注释，而而且还有范例，你只需要copy一行，然后把“root”改成你想要添加的那个用户名就可以了。

然而，里面的东西其实看着很奇怪，我们要添加的那一行看起来大概是这样的：

`chris ALL=(ALL:ALL) ALL`

上面的内容取自Ubuntu 12.04，其他Unix平台内容也是类似的。其中“chris”是用户名，后面跟着好几个“ALL”，是干吗用的呢？

以前我一直都是实用主义，解决了一个问题，那就可以了，很少去想“为什么”，最近发现，如果如果一直是这样，其实不大好，知其然要知其所以然。当然，如果无穷无尽的去最求所以然，那就成了科学研究了，所以中间要有个度。

出于这个考虑，今天就看了一下这个visudo，看看究竟是什么东东。

前面说了，visudo其实是打开一个文件，让你编辑这个文件的内容，这个文件就是/etc/sudoers，用的编辑器默认是vi。你可以用任何编辑器打开编辑它。那么问题来了，为什么不用直接打开这个文件然后编辑其中的内容呢？根据visudo的使用说明，如果你用visudo来编辑这个文件，那么它会帮你自动做很多事情，比如说语法检查，加锁防止别人同时修改这个文件等等，所以，强烈建议用户使用visudo，强烈谴责用户直接修改这个文件。

下面，我们就运行这个命令，看看里面有什么东西：

 

 

以#开头的行都是注释，所以前面8行都是注释，第一行注释也说清楚了，这个文件必须用visudo来编辑。

第九行Default  env_reset 表示重置（就是去除）用户定义的环境变量，也就是说，当你用sudo执行一个命令的时候，你当前用户设置的所有环境变量都是无效的。比如说，你的home目录下面有一个bin文件夹，这个文件夹里面有一些可执行文件，你把这个文件夹加到Path环境变量里。正常情况下，你可以在任何地方直接执行这个文件夹里面的命令。但是你用sodu执行这个文件夹里面的命令时，shell会提醒你"command not found". 那是因为当你用sudo执行一个命令时，你当前用户设置的path环境变量已经失效了。

下面的

root  ALL=(ALL:ALL)  ALL

就是我们前面提到的ALL。在下面一行

zouchuang  ALL=(ALL:ALL) ALL

就是我们创建了一个新用户（在这里，这个新用户名字叫zouchuang)，需要添加的这一行。

其中zouchuang是用户名，接下来的第一个ALL，表示"From ALL hosts"（所有主机）, 意思是，zouchuang从任何机器登录，都可以应用接下来的规则。

第二个ALL，表示“run as All user”，这个的意思是，zouchuang可以以任何用户的身份运行一些命令。第三个ALL，表示“run as All groups”，它的意思是，zouchuang可以以任何用户组的身份运行一些命令。运行那些命令呢？这就是第四个ALL的意思了，这表示前面的规定适用于任何命令。总结起来，这四个ALL的含义就是，zouchuang这个用户可以从任何机器登录，以任何用户和用户组的身份运行任何命令。

这四个ALL都可以用其他值来代替，比如，可以将第一个ALL改成本地局域网，或某些特定的网段，这样的话，用户在其他机器上登陆以后，就无法使用sudo命令了。

第二个和第三个ALL是可选的，如果省略，则默认为root用户，也就是说，可以这样写：

zouchuang ALL= ALL，表示zouchuang可以从任何host登录，然后以root身份运行任何命令。

接下来下面这一行

%admin ALL=(All) ALL

表示这是用户组的权限，以%开头，admin是用户组的名字，接下来的几个ALL表示的含义跟前面所述的一样，其中第二个ALL表示“All users” 而不是“All groups”。

作者：邹小创
链接：https://www.jianshu.com/p/009e748db9e8
來源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。