本文小編為大家詳細(xì)介紹“l(fā)inux系統(tǒng)sudo命令怎么使用”,內(nèi)容詳細(xì),步驟清晰�����,細(xì)節(jié)處理妥當(dāng)�����,希望這篇“l(fā)inux系統(tǒng)sudo命令怎么使用”文章能幫助大家解決疑惑���,下面跟著小編的思路慢慢深入�,一起來學(xué)習(xí)新知識(shí)吧���。
站在用戶的角度思考問題�,與客戶深入溝通�,找到信宜網(wǎng)站設(shè)計(jì)與信宜網(wǎng)站推廣的解決方案�����,憑借多年的經(jīng)驗(yàn)�����,讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合�,創(chuàng)造個(gè)性化�����、用戶體驗(yàn)好的作品��,建站類型包括:網(wǎng)站建設(shè)�、網(wǎng)站制作、企業(yè)官網(wǎng)��、英文網(wǎng)站�、手機(jī)端網(wǎng)站、網(wǎng)站推廣�、空間域名、網(wǎng)頁空間�、企業(yè)郵箱。業(yè)務(wù)覆蓋信宜地區(qū)��。
比如:運(yùn)行一些像mount,halt���,su之類的命令�����,或者編輯一些系統(tǒng)配置文件,像/etc/mtab����,/etc /samba/smb.conf等。這樣以來��,就不僅減少了root用戶的登陸次數(shù)和管理時(shí)間�����,也提高了系統(tǒng)安全性����。
一. sudo的特點(diǎn)
sudo扮演的角色注定了它要在安全方面格外謹(jǐn)慎,否則就會(huì)導(dǎo)致非法用戶攫取root權(quán)限���。同時(shí)��,它還要兼顧易用性����,讓系統(tǒng)管理員能夠更有效,更方便地使用它��。sudo設(shè)計(jì)者的宗旨是:給用戶盡可能少的權(quán)限但仍允許完成他們的工作��。所以�,sudo
有以下特點(diǎn):
# 1. sudo能夠限制指定用戶在指定主機(jī)上運(yùn)行某些命令。
# 2. sudo可以提供日志�����,忠實(shí)地記錄每個(gè)用戶使用sudo做了些什么����,并且能將日志傳到中心主機(jī)或者日志服務(wù)器。
# 3. sudo為系統(tǒng)管理員提供配置文件���,允許系統(tǒng)管理員集中地管理用戶的使用權(quán)限和使用的主機(jī)���。它默認(rèn)的存放位置是/etc/sudoers。
# 4.sudo使用時(shí)間戳文件來完成類似“檢票”的系統(tǒng)����。當(dāng)用戶執(zhí)行sudo并且輸入密碼后�����,用戶獲得了一張默認(rèn)存活期為5分鐘的“入場券”(默認(rèn)值可以在編譯的時(shí)候改變)��。超時(shí)以后���,用戶必須重新輸入密碼。
二. sudo命令
sudo程序本身就是一個(gè)設(shè)置了suid位的二進(jìn)制文件���。我們可以檢查一下它的權(quán)限:
復(fù)制代碼 代碼如下:
$ls -l /usr/bin/sudo
---s--x--x 2 root root 106832 02-12 17:41 /usr/bin/sudo
它的所有者是root,所以每個(gè)用戶都可以像root那樣執(zhí)行該程序���。設(shè)置了suid的程序在運(yùn)行時(shí)可以給使用者以所有者的euid���。這也是為 什么設(shè)置了suid的程序必須小心編寫。但是設(shè)置一個(gè)命令文件的suid和用sudo來運(yùn)行它是不同的概念��,它們起著不同的作用����。
sudo的配置都記錄在/etc/sudoers文件中��,我們下面將會(huì)詳細(xì)說明��。配置文件指明哪些用戶可以執(zhí)行哪些命令�����。要使用sudo����,用戶 必須提供一個(gè)指定用戶名和密碼���。注意:sudo需要的不是目標(biāo)用戶的密碼�,而是執(zhí)行sudo的用戶的密碼����。如果不在sudoers中的用戶通過sudo執(zhí) 行命令,sudo會(huì)向管理員報(bào)告這一事件����。用戶可以通過sudo -v來查看自己是否是在sudoers 之中。如果是��,它還可以更新你的“入場券”上的時(shí)間;如果不是�����,它會(huì)提示你�,但不會(huì)通知管理員。
sudo命令格式如下:
復(fù)制代碼 代碼如下:
sudo -k -l -v -h -k -l -vsudo [-hpsb] [-a auth_type] [-c class-] [-p prompt] [-u username#uid] {-e file [...] -i -s command}
下面我們再來看一下sudo其它常用的一些參數(shù):
選項(xiàng) 含義 作用
sudo-hhelp列出使用方法����,退出。
sudo-vversion顯示版本信息�����,并退出���。
sudo-llist列出當(dāng)前用戶可以執(zhí)行的命令。只有在sudoers里的用戶才能使用該選項(xiàng)��。
sudo-uusername#uiduser以指定用戶的身份執(zhí)行命令�����。后面的用戶是除root以外的�����,可以是用戶名,也可以是#uid��。
sudo-kkill清除“入場卷”上的時(shí)間�����,下次再使用sudo時(shí)要再輸入密碼�。
sudo-ksurekill與-k類似,但是它還要撕毀“入場卷”�����,也就是刪除時(shí)間戳文件�����。
sudo-bcommandbackground在后臺(tái)執(zhí)行指定的命令�。
sudo-ppromptcommandprompt可以更改詢問密碼的提示語,其中%u會(huì)代換為使用者帳號(hào)名稱�,%h會(huì)顯示主機(jī)名稱。非常人性化的設(shè)計(jì)�����。
sudo-efileedit不是執(zhí)行命令,而是修改文件��,相當(dāng)于命令sudoedit����。
還有一些不常用的參數(shù),在手冊頁sudo(8)中可以找到�。
三.配置sudo
配置sudo必須通過編輯/etc/sudoers文件,而且只有超級(jí)用戶才可以修改它�����,還必須使用visudo編輯��。之所以使用visudo有兩個(gè)原因����,一是它能夠防止
兩個(gè)用戶同時(shí)修改它;二是它也能進(jìn)行有限的語法檢查���。所以�����,即使只有你一個(gè)超級(jí)用戶,你也最好用visudo來檢查一下語法。
visudo默認(rèn)的是在vi里打開配置文件���,用vi來修改文件���。我們可以在編譯時(shí)修改這個(gè)默認(rèn)項(xiàng)。visudo不會(huì)擅自保存帶有語法錯(cuò)誤的配置文件����,它會(huì)提示你出現(xiàn)的問題,并詢問該如何處理���,就像:
復(fù)制代碼 代碼如下:
>>>sudoersfile:syntaxerror,line22<<
此時(shí)我們有三種選擇:鍵入“e”是重新編輯��,鍵入“x”是不保存退出�����,鍵入“q”是退出并保存��。如果真選擇q�����,那么sudo將不會(huì)再運(yùn)行��,直到錯(cuò)誤被糾正�。
現(xiàn)在,我們一起來看一下神秘的配置文件���,學(xué)一下如何編寫它�。讓我們從一個(gè)簡單的例子開始:讓用戶foobar可以通過sudo執(zhí)行所有root可執(zhí)行的命令�����。以root身份用visudo打開配置文件�����,可以看到類似下面幾行:
復(fù)制代碼 代碼如下:
#runasaliasspecification
#userprivilegespecificationrootall=(all)all
我們一看就明白個(gè)差不多了���,root有所有權(quán)限�,只要仿照現(xiàn)有root的例子就行�����,我們在下面加一行(最好用tab作為空白):
復(fù)制代碼 代碼如下:
foobarall=(all)all
保存退出后�,切換到foobar用戶,我們用它的身份執(zhí)行命令:
復(fù)制代碼 代碼如下:
[foobar@localhost~]$ls/root
ls:/root:權(quán)限不夠
[foobar@localhost~]$sudols/root
password:
anaconda-ks.cfgdesktopinstall.loginstall.log.syslog
好了��,我們限制一下foobar的權(quán)利�����,不讓他為所欲為��。比如我們只想讓他像root那樣使用ls和ifconfig����,把那一行改為:
復(fù)制代碼 代碼如下:
foobarlocalhost=/sbin/ifconfig,/bin/ls
再來執(zhí)行命令:
復(fù)制代碼 代碼如下:
[foobar@localhost~]$sudohead-5/etc/shadow
password:
sorry,userfoobarisnotallowedtoexecute'/usr/bin/head-5/etc/shadow'asrootonlocalhost.localdomain.
[foobar@localhost~]$sudo/sbin/ifconfigeth0linkencap:ethernethwaddr00:14:85:ec:e9:9b...
現(xiàn)在讓我們來看一下那三個(gè)all到底是什么意思。第一個(gè)all是指網(wǎng)絡(luò)中的主機(jī)����,我們后面把它改成了主機(jī)名,它指明
foobar可以在此主機(jī)上執(zhí)行后面的命令���。第二個(gè)括號(hào)里的all是指目標(biāo)用戶����,也就是以誰的身份去執(zhí)行命令��。最后一個(gè)
all當(dāng)然就是指命令名了�����。例如,我們想讓foobar用戶在linux主機(jī)上以jimmy或rene的身份執(zhí)行kill命令����,這樣編寫配置文件:
foobarlinux=(jimmy,rene)/bin/kill
但這還有個(gè)問題,foobar到底以jimmy還是rene的身份執(zhí)行�?這時(shí)我們應(yīng)該想到了sudo-u了,它正是用在這種時(shí)候����。foobar可以使用sudo-ujimmykillpid或者sudo-urenekillpid,但這樣挺麻煩��,其實(shí)我們可以不必每次加-u���,把rene或jimmy設(shè)為默認(rèn)的目標(biāo)用戶即可�。再在上面加一行:
defaults:foobarrunas_default=rene
defaults后面如果有冒號(hào)����,是對(duì)后面用戶的默認(rèn),如果沒有��,則是對(duì)所有用戶的默認(rèn)�。就像配置文件中自帶的一行:
defaultsenv_reset
另一個(gè)問題是,很多時(shí)候�,我們本來就登錄了�����,每次使用sudo還要輸入密碼就顯得煩瑣了。我們可不可以不再輸入密碼呢�?當(dāng)然可以,我們這樣修改配置文件:
foobarlocalhost=nopasswd:/bin/cat,/bin/ls
再來sudo一下:
復(fù)制代碼 代碼如下:
[foobar@localhost~]$sudols/rootanaconda-ks.cfgdesktopinstall.log
install.log.syslog
當(dāng)然����,你也可以說“某些命令用戶foobar不可以運(yùn)行”,通過使用!操作符��,但這不是一個(gè)好主意���。因?yàn)?��,?操作符來從all中“剔出”一些命令一般是沒什么效果的,一個(gè)用戶完全可以把那個(gè)命令拷貝到別的地方�����,換一個(gè)名字后再來運(yùn)行����。
四.日志與安全
sudo為安全考慮得很周到��,不僅可以記錄日志�,還能在有必要時(shí)向系統(tǒng)管理員報(bào)告�。但是,sudo的日志功能不是自動(dòng)的���,必須由管理員開啟��。這樣來做:
復(fù)制代碼 代碼如下:
#touch/var/log/sudo
#vi/etc/syslog.conf
在syslog.conf最后面加一行(必須用tab分割開)并保存:
local2.debug/var/log/sudo
重啟日志守候進(jìn)程�,
psauxgrepsyslogd
把得到的syslogd進(jìn)程的pid(輸出的第二列是pid)填入下面:
kill–huppid
這樣���,sudo就可以寫日志了:
復(fù)制代碼 代碼如下:
[foobar@localhost~]$sudols/rootanaconda-ks.cfg
desktopinstall.log
install.log.syslog
$cat/var/log/sudojul2822:52:54localhostsudo:foobar:
tty=pts/1;pwd=/home/foobar;user=root;command=/bin/ls/root
不過��,有一個(gè)小小的“缺陷”�,sudo記錄日志并不是很忠實(shí):
復(fù)制代碼 代碼如下:
[foobar@localhost~]$sudocat/etc/shadow>/dev/null
[foobar@localhost~]$
cat/var/log/sudo...jul2823:10:24localhostsudo:foobar:tty=pts/1;
pwd=/home/foobar;user=root;command=/bin/cat/etc/shadow
重定向沒有被記錄在案�����!為什么����?因?yàn)樵诿钸\(yùn)行之前,shell把重定向的工作做完了,sudo根本就沒看到重定向���。這也有個(gè)好處��,下面的手段不會(huì)得逞:
復(fù)制代碼 代碼如下:
[foobar@localhost~]$sudols/root>/etc/shadowbash:/etc/shadow:權(quán)限不夠
sudo有自己的方式來保護(hù)安全���。以root的身份執(zhí)行sudo
-v,查看一下sudo的設(shè)置�。因?yàn)榭紤]到安全問題��,一部分環(huán)境變量并沒有傳遞給sudo后面的命令��,或者被檢查后再傳遞的����,比如:path,home���,
shell等����。當(dāng)然��,你也可以通過sudoers來配置這些環(huán)境變量。
讀到這里�,這篇“l(fā)inux系統(tǒng)sudo命令怎么使用”文章已經(jīng)介紹完畢,想要掌握這篇文章的知識(shí)點(diǎn)還需要大家自己動(dòng)手實(shí)踐使用過才能領(lǐng)會(huì)�����,如果想了解更多相關(guān)內(nèi)容的文章���,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�。
網(wǎng)站標(biāo)題:linux系統(tǒng)sudo命令怎么使用
網(wǎng)頁URL:
http://weahome.cn/article/gchdjj.html
重慶分公司
重慶分公司
