- 积分
- 16843
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
sudu命令+ N/ N9 h; d- ?$ f
* \% f7 p! x+ [2 G
用来以其他身份来执行命令,预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。
9 O1 b* M6 ?6 G
+ W& Y- I# F: h% U语法: sudo (选项) (参数)
: K- r7 g! j: S- l4 K选项: (该部分只做了解)6 t" Y: _; A' E+ c" [
-b:在后台执行指令;
# e3 k1 U' I9 A-h:显示帮助;8 ^& J5 x5 ^& M4 D/ d6 A# ?
-H:将HOME环境变量设为新身份的HOME环境变量;
7 b5 ?% }, M4 \# ]7 D+ @0 p-k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码;
. R" Q b S$ ~0 w/ `( j-l:列出目前用户可执行与无法执行的指令;9 a& m: |! X: \& z5 u* y' V1 N
-p:改变询问密码的提示符号;
- C- w, ~5 B% s6 S( ]$ H6 c-s:执行指定的shell;& K) A+ r4 W( o9 u& r
-u<用户>:以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份;
% R$ r4 L! V2 T. I) s; n8 k* @. O/ m-v:延长密码有效期限5分钟;: o( G( k0 f6 G
-V :显示版本信息。
5 U2 c5 W* _/ m/ |
/ Q1 a {" w0 { ^8 o5 y" lsudo文件配置
4 E+ }' X( p* X* O3 W u# h6 ]! l4 f* h/ E ^
配置sudo必须通过编辑/etc/sudoers文件,而且只有超级用户才可以修改它。使用visudo命令编辑/etc/sudoers配置文件,操作方法同vi命令。当对多个命令设置速sudo权限时,需要用逗号加空格隔开。使用visudo有两个原因,一是它能够防止两个用户同时修改它;二是它也能进行有限的语法检查。所以,即使只有你一个超级用户,你也最好用visudo来检查一下语法。 / \ f7 w1 M0 ?/ I5 I7 E# W+ I
4 R& ]6 W* _0 _6 r[root@3 ~]# visudo 更改sudo配置文件1 _, O' V5 p4 u4 a2 Z% o; d0 m C
6 j7 d s% D/ X4 _0 @% T" p% R
# This file MUST be edited with the 'visudo' command as root. 2 o, Y9 R% U! [# n2 Z( R; q$ A
必须在root用户使用visudo命令!
% g3 s( k5 [1 ^$ X! @1 s- O
6 P+ {9 b. e5 o1 t- k## Allow root to run any commands anywhere. p W4 |0 ^9 e
root ALL=(ALL) ALL
+ r5 K8 m" ^" O; ]6 d2 ALL=(ALL) /usr/bin/ls, /usr/bin/mv, /usr/bin/cat' Y: @) L) j* }6 P: e
对2用户进行授权(授权完毕后保存退出) c% @% N( [8 x6 n. h% |
8 k( U, t4 ~. U2 b% I6 g# t
[root@3 ~]# su - 2 切换到普通用户% s% g$ k) ~% @, ?$ H/ T
上一次登录:三 6月 14 10:23:01 CST 2017pts/1 上7 e; a1 d3 Z& i; S; N6 {: F" ^
[2@3 ~]$ ls /root/6 J4 B5 O9 x1 P0 l s, n' h
ls: 无法打开目录/root/: 权限不够
8 H8 m) s4 t+ }9 L# O(!!!即,普通用户没有访问root用户的权限)
' z& n, l8 @% m+ c0 _/ o" N3 S. T[2@3 ~]$ sudo /usr/bin/ls /root/
% |# J4 j9 ~4 O6 }- A$ R' F0 t$ n使用sudo命下访问root用户
c" F2 X/ r+ o. M* ]- x[sudo] password for adai001: 7 G# a3 d* \, Q
anaconda-ks.cfg 访问成功!!!
9 E: U @; }# @- X/ @% i; }[2@3 ~]$ sudo /usr/bin/ls /root/
( J/ k/ h8 K8 F, }6 Xanaconda-ks.cfg 再次使用sudo命令时无需输入密码
4 n* j# x2 v1 D' l9 G8 E8 B[2@3 ~]$ cat /root/
6 A# Z, a$ i5 f Qcat: /root/: 权限不够) c, o* M, C) b3 H0 O2 v1 N) W
[2@3 ~]$ sudo /usr/bin/cat /root/) P$ x$ Z2 D4 Q# [) s7 M
/usr/bin/cat: /root/: 是一个目录% c2 N! g- e, [9 ~6 N
注:6 J; X) P1 {9 L o. i1 V
1)在增添用户的同时需要对用户设置密码(此处设置的是12345678),用户和登录密码要同时成对存在!
- q. y3 |, |) e5 } \' `5 w2)在编辑sudo配置文件时可以使用"NOPASSWD"前缀设置无密码使用权限,即在使用sudo命令时不用再输入用户密码!7 \/ j0 |- r- o/ s
4 w, a2 h' M: @0 _, ]& Bsudo -i 详解
* z4 S. n" C# i1 {8 m+ ~- k
" W: p9 [9 L! {* o8 O5 b) Asudo : 暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。, t" F# W5 a- \4 G+ x
0 L5 e4 F7 ~+ h) A% C6 U4 i, L
su : 切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。, D$ c8 M# t# \$ U4 V
6 r/ H6 G3 ?# T5 l) T
sudo -i: 为了频繁的执行某些只有超级用户才能执行的权限,而不用每次输入密码,可以使用该命令。提示输入密码时该密码为当前账户的密码。没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。8 v: F9 o# ?/ ?, Z7 E) |
. B" x: z; z u1 I N; G其实,还有几个类似的用法:
* s# I# [, M, s J c+ h( p) bsudo /bin/bash:
" z' Y2 N; c8 b% q. G9 e8 d! w这个命令也会切换到root的bash下,但不能完全拥有root的所有环境变量,比如PATH,可以拥有root用户的权限。这个命令和 sudo -s 是等同的。- n9 b+ I4 ~$ }- I9 g3 E
; }6 F8 W8 V$ `/ z
sudo -s : 如上
- B* T* {) ], F' r P& q& s7 Y
) Y7 |5 v3 t' }8 R! J3 s" [1 asudo su : 这个命令,也是登录到了root,但是并没有切换root的环境变量,比如PATH。
8 w. P/ S. Y6 C1 R' c
$ N* `* v: i: Q$ |. A, L+ dsudo su - : 这个命令,纯粹的切换到root环境下,可以这样理解,先是切换到了root身份,然后又以root身份执行了 su -,此时跟使用root登录没有什么区别。此结果貌似跟sudo -i的效果是一样的,但是也有不同,sudo只是临时拥有了root的权限,而su则是使用root账号登录了linux系统。
* `% E- f4 b0 a6 t& U5 \9 h所以,我们再来总结一下:9 n0 U* K( {9 N* w
: Y0 Z: R0 h q; T! K5 u
sudo su - 约等于 sudo -i
$ Q; j: z" r$ r; y+ @3 C* U( x1 }1 J0 w, u( T/ M4 Z
sudo -s 完全等于 sudo /bin/bash 约等于 sudo su
& O: G) ~1 d0 W/ X5 O- s, [sudo 终究被一个"临时权限的帽子"扣住,不能等价于纯粹的登录到系统里。% \7 j6 H n! [, q {* Y
W# p. F- X% Z) }; G$ ]sudo配置文件样例
4 v( O& i( s$ M3 R6 d& P9 y; T7 G/ t+ T* w' A
#
) W9 v6 l2 p2 O+ U1 K2 m8 F# Sample /etc/sudoers file.
4 q- `$ T. k) T" ~#
& W; ]. |, S7 n! H# This file MUST be edited with the 'visudo' command as root.% O0 R5 L+ t6 f: t3 z8 u7 i; ]- \! S
#
3 ]: g. P* Y2 l7 j! m) k, B# See the sudoers man page for the details on how to write a sudoers file.
& d0 X/ J( R! X; N2 \$ H" v; X4 ]#& ?* |- M E' J7 u& r
! e% l3 z' E# b& z) f# r4 F1 ~##* `* T9 V" {$ u# H
# User alias specification
7 f, R! q8 u0 L3 q5 G# W" N##
4 ?$ |' @; {- e+ o% hUser_Alias FULLTIMERS = millert, mikef, dowdy+ Z- Y+ w% W* p5 R% l0 ]
User_Alias PARTTIMERS = bostley, jwfox, crawl
: h5 Q6 ?7 R; P% oUser_Alias WEBMASTERS = will, wendy, wim- Z6 m. f( ^! a+ \% D7 p2 \, M# F
& l6 ] R" p$ K5 R% @6 v##& R3 w4 b2 ^3 R7 ~: l0 ]8 E9 l
# Runas alias specification4 E8 F8 s+ W1 g& D
##3 l9 a3 z3 D$ v5 k- E6 S
Runas_Alias OP = root, operator2 _* y k7 H! H( e
Runas_Alias DB = oracle, sybase) ~& |/ o0 ` h5 ^5 F% k, X1 n* q
1 n' g% t5 Z) A0 `# f H6 b4 o
##: x1 S5 F6 W4 }* ]1 O [7 X' b; `
# Host alias specification
2 W* ~; p9 M# i r" V a##
7 A3 {" }! e4 C3 p+ nHost_Alias SPARC = bigtime, eclipse, moet, anchor:\
) G8 b0 ?; j9 Q: }% w1 q; V2 P SGI = grolsch, dandelion, black:\1 F" J( l# g6 P+ }
ALPHA = widget, thalamus, foobar:\
1 w1 \: A( e5 S' ~! q HPPA = boa, nag, python
* v. N* |+ t7 w. J' Z: ?- lHost_Alias CUNETS = 128.138.0.0/255.255.0.0
8 T- L# x7 v; S( T5 R! e: c- eHost_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0
! O& G$ K9 C7 L F% w/ `3 y! rHost_Alias SERVERS = master, mail, www, ns
4 M8 X2 [* u' {( A' iHost_Alias CDROM = orion, perseus, hercules2 Q: R1 w. C( { ]* ^; V
9 n! p& w$ u, r' u! j
##( v2 O2 p" X) y" A6 ]1 H
# Cmnd alias specification
2 Y7 w& O: E" z5 ~# q3 M6 ~. P, T# J##! j- h! C5 q; [; b
Cmnd_Alias DUMPS = /usr/sbin/dump, /usr/sbin/rdump, /usr/sbin/restore, \
4 ^0 X$ q5 {3 k6 U; [ /usr/sbin/rrestore, /usr/bin/mt
' i" l# F3 a* T- w/ T# I8 FCmnd_Alias KILL = /usr/bin/kill
8 c9 N: O, J7 CCmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm
. Z% T- O6 R, z' Y H8 PCmnd_Alias SHUTDOWN = /usr/sbin/shutdown. J5 ^3 H# _+ h# A
Cmnd_Alias HALT = /usr/sbin/halt' u0 I$ ~, f: h( V5 t M
Cmnd_Alias REBOOT = /usr/sbin/reboot
1 v, [. f$ M7 W; HCmnd_Alias SHELLS = /sbin/sh, /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \% T- I( i2 c: [* w: l" [3 k
/usr/local/bin/tcsh, /usr/bin/rsh, \
1 \9 j h* Y; ?9 s4 y6 X /usr/local/bin/zsh
8 p' A% d) f: Y& H }Cmnd_Alias SU = /usr/bin/su# X4 ]: T4 f; y: S
Cmnd_Alias VIPW = /usr/sbin/vipw, /usr/bin/passwd, /usr/bin/chsh, \, C. q9 O+ a/ j3 W- U6 O
/usr/bin/chfn
; s7 @6 Y( O' u" \' Q+ i! N6 F
" i$ c- G$ I9 f7 w5 N$ L##
, W# O2 {! A5 E. N8 K% B: \% n4 b# Override built-in defaults3 _8 t Z5 B6 J/ Q4 q0 f, u
##1 @0 g/ p! g2 s# V
Defaults syslog=auth: H4 K6 u2 u8 |, M' _0 B! e
Defaults>root !set_logname5 G& Y: X9 B A& ?( |
Defaults:FULLTIMERS !lecture
3 `; h" w5 l4 M( K. z6 `6 sDefaults:millert !authenticate
: }9 T9 f0 G: z1 z, }! EDefaults@SERVERS log_year, logfile=/var/log/sudo.log
: z& s) U( A, n9 j1 K: r3 r
' I8 C, t: V J/ L" |! K; w( R##3 F! L' n; b& a7 |, z
# User specification3 P) D$ G& A; X* a
##7 Y+ o/ L3 |; A' Z
' F/ R) Q6 B. B, h# root and users in group wheel can run anything on any machine as any user
% S+ Q9 o* G9 ]7 E% W& mroot ALL = (ALL) ALL
/ e" C6 |1 n, H0 T$ L; k- `; ^%wheel ALL = (ALL) ALL/ [8 I( m' S% B% M0 v
/ ?5 O) ^/ L3 t$ W; N2 E8 d
# full time sysadmins can run anything on any machine without a password/ l/ B# [& ` n% x9 d% E" r( w
FULLTIMERS ALL = NOPASSWD: ALL1 F7 F+ j# t* i4 c
4 _9 A: Q& U5 L$ G7 l# part time sysadmins may run anything but need a password
) c: J# D1 i" `9 a$ j: ~PARTTIMERS ALL = ALL& S% y# t. I7 H- ]1 {
g( h; L3 n; d+ [7 I% J7 _# jack may run anything on machines in CSNETS
. X- ?/ P$ O5 r. o; _) cjack CSNETS = ALL
: f' x* T! ]4 S4 [# f q
( s7 {7 g5 A; D# lisa may run any command on any host in CUNETS (a class B network)! |/ Q4 C# P( V
lisa CUNETS = ALL/ v) I( i& A/ p4 l
3 X$ N9 U1 n8 F6 J. R
# operator may run maintenance commands and anything in /usr/oper/bin/
! [7 d6 x" G4 n4 m6 q) I6 {operator ALL = DUMPS, KILL, SHUTDOWN, HALT, REBOOT, PRINTING,\
4 n& w" @. ^- p! Z sudoedit /etc/printcap, /usr/oper/bin/
! O; e- z/ N: C2 F, F4 R% l% s3 P3 e3 O# T8 D& M: O O
# joe may su only to operator
! a( A' \0 d9 K# B# P# f, m4 Wjoe ALL = /usr/bin/su operator9 [/ g: e' e" w6 m6 ~3 k8 i1 n
$ G C& R& f H3 R# L3 h# pete may change passwords for anyone but root on the hp snakes4 r1 E" ?8 f- m% W: O; T
pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root7 {* t$ L. K- k& {- d# t5 c! |
: ?+ i2 N" G* }
# bob may run anything on the sparc and sgi machines as any user8 D# Y$ T. ^2 z4 M
# listed in the Runas_Alias "OP" (ie: root and operator)- T0 a. |7 i, r" ]2 C
bob SPARC = (OP) ALL : SGI = (OP) ALL
: J6 R) W0 X( h$ _4 p5 t& c, I8 L* _7 {( M; L
# jim may run anything on machines in the biglab netgroup$ L3 W* G1 [( Z: d$ C, U, W2 s' K, _
jim +biglab = ALL
6 {3 K7 h# @2 B: T) |
, P0 F5 i5 k4 |7 E% U- ^# users in the secretaries netgroup need to help manage the printers
# I# G! h1 x: `1 N; q! b' l# as well as add and remove users$ W0 \: [2 F2 F8 x' \* Z
+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser
. Q5 K, y4 q, o9 [+ w+ H
* L9 ?& I3 u7 V" W# fred can run commands as oracle or sybase without a password: F- i) C7 m9 J6 m+ d& b
fred ALL = (DB) NOPASSWD: ALL
% X8 v' O7 N0 ?7 J5 {6 S5 q/ ?, P4 w5 \8 m4 o p8 x" N( a
# on the alphas, john may su to anyone but root and flags are not allowed. x( G S6 b8 ~7 d
john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*) ~2 l' v; B2 d" g% _0 s: c
7 B$ @, r' ^2 ~# jen can run anything on all machines except the ones
; T7 F8 q% h' q7 ^0 J" ]# in the "SERVERS" Host_Alias
! _0 J- v( I W t- H% Yjen ALL, !SERVERS = ALL
. N' F( Y+ f( \2 ^+ R2 ?0 }$ l; L. I& a8 e- s/ w
# jill can run any commands in the directory /usr/bin/, except for
6 g* ^# [. Z; w3 L( w& T, h# those in the SU and SHELLS aliases.
& s$ p$ r) M, X7 Y, e6 G0 Bjill SERVERS = /usr/bin/, !SU, !SHELLS
, K3 S: {& x8 P# z f0 ?, }2 M1 V9 t# A. L* C" V
# steve can run any command in the directory /usr/local/op_commands/
6 o; Y3 G }0 g+ c# as user operator.
6 x7 n9 ^& l+ c; ksteve CSNETS = (operator) /usr/local/op_commands/
1 y% P R5 y3 U' q2 R6 D9 X) H: H& V( L* [! {% z
# matt needs to be able to kill things on his workstation when" `& t9 _" ^: Q" @5 U* c& x
# they get hung.
! T' I) b$ F( ]: g* F/ K* ]matt valkyrie = KILL6 ]- B4 I2 _9 B4 z
. V- Z# A" \- g9 T; {
# users in the WEBMASTERS User_Alias (will, wendy, and wim)) {) B' g! a, T$ n
# may run any command as user www (which owns the web pages)
! s7 k& R0 t0 ~$ M. n) i# or simply su to www.2 m! P- C6 @9 _0 o
WEBMASTERS www = (www) ALL, (root) /usr/bin/su www/ s- G, m0 `" u
- E! J, e2 c1 M7 M, O+ y
# anyone can mount/unmount a cd-rom on the machines in the CDROM alias, T/ C8 N& A/ N: G" [- o
ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\
5 A3 c& P5 |! d2 ^& J0 d /sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM6 [# d3 w B5 S/ n8 M4 `
文件编辑状态下可以用“/”进行关键词查找,输入“:set nu(=number)”显示行号。 |
|
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2018-12-27 10:19:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主
发表于 2018-12-27 10:51:09
