sudo的初步使用

sudo是linux系統管理指令，是允許系統管理員讓普通用戶執行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄 和管理時間，同樣也提高了安全性。sudo不是對shell的一個代替，它是面向每個命令的。

sudo的配置文件/etc/sudoers，其格式如下：

root ALL=(ALL) ALL     #root用戶可以在任何地方，以任何人的身份，執行任何命令
users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom	#users用戶組在主機上能夠以管理員的身份掛載和卸載

sudoers支持使用別名對同類對象進行分組：組名必須使用全大寫字母

Host_Alias 在哪些主機

User_Alias 哪些用戶

Runas_Alias 用哪些身份

Cmnd_Alias 用哪些命令

sudo授權用戶：

$ sudo -l 可以查看自己被使用sudoers賦予的權限

$ sudo COMMAND 使用命令

語法

sudo [-bhHpV][-s ][-u <用戶>][指令]或
sudo [-klv]

參數

　　-b 　在后臺執行指令。

　　-h 　顯示幫助。

　　-H 　將HOME環境變量設為新身份的HOME環境變量。

　　-k 　結束密碼的有效期限，也就是下次再執行sudo時便需要輸入密碼。

　　-l 　列出目前用戶可執行與無法執行的指令。

　　-p 　改變詢問密碼的提示符號。

　　-s 　執行指定的shell。

　　-u <用戶> 　以指定的用戶作為新的身份。若不加上此參數，則預設以root作為新的身份。

　　-v 　延長密碼有效期限5分鐘。

　　-V 　顯示版本信息。

        -S   從標準輸入流替代終端來獲取密碼

例：

1、讓Tom用戶能在所有主機上以管理員的身份執行useradd命令，來添加Jerry用戶

在root用戶

# which useradd
/usr/sbin/useradd
# passwd Tom
passed：Tom
# visudo
Tom     ALL=(root)      /usr/sbin/useradd

重開一個終端，用Tom用戶登錄

$ sudo -l作為一個不同用戶，可以使用這個命令來查看能夠以其它用戶的身份使用的命令
[sudo] password for Tom:
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd
$ sudo /usr/sbin/useradd Jerry
$ tail /etc/passwd
Tom:x:501:501::/home/Tom:/bin/bash
Jerry:x:502:502::/home/Jerry:/bin/bash

到前一個終端，是root用戶

# tail /var/log/secure        #查看日志文件，這個文件只有root用戶才有權限
Mar 28 10:34:11 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=list
Mar 28 10:34:15 sange sudo:  Tom:TTY=pts/2;PWD=/home/Tom;USER=root;COMMAND=/usr/sbin/useradd Jerry
Mar 28 10:34:15 sange useradd[11625]:new group:name=Jerry,GID=502
Mar 28 10:34:15 sange useradd[11625]:new user:name=Jerry,UID=502,GID=502,home=/home/Jerry,shell=/bin/bash

2、添加useradmins這個用戶組，使Tom和Jerry都能使用管理命令

# groupadd useradmins
# usermod -a -G useradmins Tom
# usermod -a -G useradmins Jerry
# passwd Jerry
passwd：Jerry

再開一個終端，用Jerry用戶登錄

$ sudo -l
[sudo] password for Jerry: Jerry        #現在Jerry沒有權限
Sorry，user Jerry may not run sudo on sange.
$ sudo /usr/sbin/useradd user1
[sudo] password for Jerry: Jerry
Jerry is not in the sudoers file. This incident will be reported

所以到root終端

# tail /var/log/secure
Mar 28 10:51:18 sange sudo:    Jerry : command not allowed ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=list
Mar 28 10:51:47 sange sudo:    Jerry : user NOT in sudoers ; TTY=pts/4 ; PWD=/home/Jerry ; USER=root ; COMMAND=/usr/sbin/useradd user1
You have new mail in /var/spool/mail/root

如果每一個單獨授權太麻煩了，但是我們希望一下就讓這多個用戶都同時具有這樣的權限，

# visudo
Tom     ALL=(root)      /usr/sbin/useradd  -->  %useradminsALL=(root)      /usr/sbin/useradd

到Jerry終端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd

到Tom終端

$ sudo -l
[sudo] password for Tom: 
Sorry，user Tom may not run sudo on sange.        #不太清楚什么原因，再開一個終端就好了

重新打開一個終端，用Tom用戶登錄

$ sudo -l
[sudo] password for Tom:
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd

3、使用命令別名

在root用戶

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
%useradmins     ALL=(root)      USERADMIN

到剛剛打開的Tom終端

$ sudo -l
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry終端

$ sudo -l
[sudo] password for Jerry: 
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
$ sudo /usr/sbin/userdel user3

4、用戶別名

在root終端

# useradd Admin
# passed Admin
passwd: Admin
# visudo
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel
User_Alias USERADMINS = Tom,Jerry,Admin
USERADMINS      ALL=(root)      USERADMINCMNDS

到Tom終端

$ sudo -l
User Tom may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Jerry終端

$ sudo -l
[sudo] password for Jerry: Jerry
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

到Admin終端

$ sudo -l
[sudo] password for Admin: Admin
User Jerry may run the following commands on this host：
    (root) /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel

5、主機別名

到root終端

# visudo
Host_Alias USERHOSTS = 192.168.0.0/24        #這一網段都可以用

6、標簽

如何在命令的后面添加passwd

在root終端

# visudo
Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd

改完之后，使用sudoers定義的用戶就可以改任何人的密碼，連管理員的密碼都可以修改，太危險了。所以在后面要添加一些內容

Cmnd_Alias USERADMIN = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/sbin/groupadd, /usr/sbin/groupdel, /usr/bin/passwd [a-zA-Z0-9]*, !/usr/bin/passwd root

這樣其它用戶就不能修改root的密碼

到Tom終端

$ sudo /usr/bin/passwd Jerry
Changing passwd for user Jerry.
New passed：
Retype new passwd：
passwd： all authentication tokens updated successfully.
[Tom@sange ~]$ sudo /usr/bin/passwd root
Sorry,user Tom is not allowed to execute '/usr/bin/passwd root' as root on sange.com.