sudo配置文件詳解及實戰

安裝NGINX以後每次都須要切換ROOT用戶作配置文件修改和啓動，爲了增強安全，ROOT用戶通常是不容許直接提供給應用開發人員或者運維人員的，因此須要提供一種方法能夠通常用戶執行ROOT用戶下的程序，而且該可執行程序依賴的其餘ROOT用戶資源也是能夠訪問的。使用chmod命令只能解決指定文件的非ROOT用戶訪問問題，程序執行時依賴的文件仍是會提示權限不足。所以須要將普通用戶加入sudo列表。

在扒了一篇帖子，轉載過來

1、sudo執行命令的流程

將當前用戶切換到超級用戶下，或切換到指定的用戶下， 
而後以超級用戶或其指定切換到的用戶身份執行命令，執行完成後，直接退回到當前用戶。 
具體工做過程以下： 
當用戶執行sudo時，系統會主動尋找/etc/sudoers文件，判斷該用戶是否有執行sudo的權限 
–>確認用戶具備可執行sudo的權限後，讓用戶輸入用戶本身的密碼確認 
–>若密碼輸入成功，則開始執行sudo後續的命令

2、不須要輸入密碼的狀況

1.root執行sudo時不須要輸入密碼(eudoers文件中有配置root ALL=(ALL) ALL這樣一條規則) 
2.欲切換的身份與執行者的身份相同，不須要輸入密碼 
3./etc/sudoers文件設置爲容許用戶在不輸入該用戶的密碼的狀況下使用全部命令 
如設置容許wheel用戶組中的用戶在不輸入該用戶的密碼的狀況下使用全部命令 
（ %wheel ALL=(ALL) NOPASSWD: ALL）

3、/etc/sudoers文件解釋

[root@test ~]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##該文件容許特定用戶像root用戶同樣使用各類各樣的命令，而不須要root用戶的密碼 
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在文件的底部提供了不少相關命令的示例以供選擇，這些示例均可以被特定用戶或  
## ## 用戶組所使用  
## This file must be edited with the 'visudo' command.
## 該文件必須使用"visudo"命令編輯
## Host Aliases
#主機別名
## Groups of machines. You may prefer to use hostnames (perhap using 
## wildcards for entire domains) or IP addresses instead.
## 對於一組服務器，你可能會更喜歡使用主機名（多是全域名的通配符）
## 或IP地址代替，這時能夠配置主機別名

# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2
## User Aliases
#用戶別名
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
## 這並不很經常使用，由於你能夠經過使用組來代替一組用戶的別名  
# User_Alias ADMINS = jsmith, mikem

## Command Aliases
## These are groups of related commands...
## 指定一系列相互關聯的命令（固然能夠是一個）的別名，經過賦予該別名sudo權限，  
## 能夠經過sudo調用全部別名包含的命令，下面是一些示例

## Networking
#網絡操做相關命令別名  
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
 /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, 
 /sbin/mii-tool
## Installation and management of software
#軟件安裝管理相關命令別名  
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services
#服務相關命令別名 
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database
#本地數據庫升級命令別名  
Cmnd_Alias LOCATE = /usr/sbin/updatedb
## Storage
#磁盤操做相關命令別名
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
## Delegating permissions
#代理權限相關命令別名 
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes
#進程相關命令別名
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers
#驅動命令別名
Cmnd_Alias DRIVERS = /sbin/modprobe
#環境變量的相關配置
# Defaults specification
#
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear. 
#         You have to run "ssh -t hostname sudo <cmd>".
#
Defaults    requiretty
Defaults    env_reset
Defaults    env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \
                        LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \
                        LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \
                        LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \
                        LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \
                        _XKB_CHARSET XAUTHORITY"
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是規則配置：什麼用戶在哪臺服務器上能夠執行哪些命令（sudoers文件能夠在多個系統上共享）
## Syntax:
##語法
##      user    MACHINE=COMMANDS
##  用戶 登陸的主機=（能夠變換的身份） 能夠執行的命令  
##
## The COMMANDS section may have other options added to it.
## 命令部分能夠附帶一些其它的選項  
##
## Allow root to run any commands anywhere 
## 容許root用戶執行任意路徑下的任意命令 
root    ALL=(ALL)       ALL
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## 容許sys中戶組中的用戶使用NETWORKING等全部別名中配置的命令

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
## 容許wheel用戶組中的用戶執行全部命令  
## Same thing without a password
## 容許wheel用戶組中的用戶在不輸入該用戶的密碼的狀況下使用全部命令
# %wheel        ALL=(ALL)       NOPASSWD: ALL
## Allows members of the users group to mount and unmount the
## cdrom as root
## 容許users用戶組中的用戶像root用戶同樣使用mount、unmount、chrom命令 
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
## 容許users用戶組中的用戶像root用戶同樣使用shutdown命令

4、實際案例演示

實例1：讓普通用戶fieldyang具備/etc/init.d/nagios腳本重啓的權限，能夠在/etc/sudoers添加以下設置：

[root@test ~]# visudo
fieldyang ALL=NOPASSWD:/etc/init.d/nagios restart

實例2：讓普通用戶fieldyang具備全部超級用戶的權限而又不用輸入密碼

[root@test ~]# visudo
fieldyang ALL=（ALL)NOPASSWD:ALL
[fieldyang@test ~]#sudo su - 
[fieldyang@test ~]#pwd
/root

實例3：針對MySQL數據庫的設置，讓test組中的test用戶具有/etc/init.d/mysqld的權限

################## mysql ################

1.

[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test

2.

[root@test ~]# visudo
# test ALL=(ALL) NOPASSWD: /etc/init.d/mysqld
test ALL=(ALL)  /etc/init.d/mysqld

3.　start/stop mysql 
　　3.1) start mysql 
　　　login test

[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld start

　　3.2) stop mysql 
　　　login test

[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld stop

實例4：針對tomcat的設置，讓test組中的test用戶具有tomcat操做的權限

################## tomcat ################

1.　

[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test

2.

[root@test ~]# visudo
    # test ALL=(ALL)  /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
    test ALL=(ALL) NOPASSWD: /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh

3.

[root@test ~]# vim /usr/local/tomcat/bin/catalina.sh
    ### JDK 
    export JAVA_HOME=/usr/local/jdk
    export JRE_HOME=$JAVA_HOME/jre

4.　start/stop tomcat 
　　4.1) start tomcat 
　　　　login test

[root@test ~]# su test  
[test@test ~]$ sudo /usr/local/tomcat/bin/startup.sh
[test@test ~]$ ss -ntlup | grep Java
[test@test ~]$ curl -I http://localhost:8080

• 1
• 2
• 3
• 4

　　4.2) stop tomcat 
　　　　login test

[root@test ~]# su test 
[test@test ~]$ sudo /usr/local/tomcat/bin/shutdown.sh