sudo配置臨時取得root權限

sudo配置臨時取得root權限
系統中的普通用戶有時須要root權限執行某種操做,要是使用su - root的話必需要知道root的密碼,這是不安全的,因此有了sudo,root能夠對/etc/sudoers作必定的配置,讓普通用戶
在不切換到root的狀況下,執行一些只有root才能執行的操做。這個文件只能root去修改,建議使用visudo這個命令修改,而不是直接vim /etc/sudoers。
緣由有二:
◦ 一是它可以防止兩個用戶同時修改它;
◦ 二是它也能進行有限的語法檢查。
當編輯這個文件有錯誤時,使用visudo會給出錯誤提示,此時能夠按e從新編輯,x不保存退出,Q保存退出,若是選擇Q,sudo就不能正常工做了。vim

實驗過程完成了給指定用戶sudo權限和用別名指定一組用戶的能夠執行的sudo指令安全

過程以下:測試

 

[plain]  view plain  copy
 
    1. [root@mail ~]# visudo   
    2.   
    3. #chen爲普通用戶,ALL能夠從任何的主機登錄,(root)能夠以root身份,後面是能夠執行的命令,最好寫全路徑  
    4.      88 ## Allow root to run any commands anywhere  
    5.      89 root    ALL=(ALL)       ALL  
    6.      90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd  
    7.      91 ## Allows members of the 'sys' group to run networking, software,  
    8.   
    9.   
    10. [root@mail ~]# exit  
    11. logout  
    12. [chen@mail 桌面]$ sudo -l #查看本身能夠執行的sudo命令  
    13. [sudo] password for chen:   #輸入本身的密碼  
    14. Matching Defaults entries for chen on this host:  
    15.     requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME  
    16.     HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME  
    17.     LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION  
    18.     LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC  
    19.     LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS  
    20.     _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin  
    21.   
    22. User chen may run the following commands on this host:  
    23.     (root) /usr/sbin/useradd, (root) /usr/bin/passwd    #這裏看到能夠執行的sudo命令  
    24. [chen@mail 桌面]$ sudo useradd user3  #測試  
    25. [chen@mail 桌面]$ sudo passwd user3  
    26. 更改用戶 user3 的密碼 。  
    27. 新的 密碼:  
    28. 無效的密碼: 太短  
    29. 無效的密碼: 過於簡單  
    30. 從新輸入新的 密碼:  
    31. passwd: 全部的身份驗證令牌已經成功更新。  
    32. [chen@mail 桌面]$ id user3    #添加user3成功  
    33. uid=503(user3) gid=503(user3) 組=503(user3)  
    34. [chen@mail 桌面]$ visudo  #普通用戶不容許編輯  
    35. visudo: /etc/sudoers: Permission denied  
    36. visudo: /etc/sudoers: Permission denied  
    37. [chen@mail 桌面]$ su - root     
    38. 密碼:  
    39. [root@mail ~]# visudo   
    40. [root@mail ~]# cat /etc/sudoers |grep user1 #編輯增長了下面一行  
    41. user1   ALL=(user2) /bin/ls  
    42. [root@mail ~]# su - user1  
    43. [user1@mail ~]$ sudo -l  
    44.   
    45. We trust you have received the usual lecture from the local System  
    46. Administrator. It usually boils down to these three things:  
    47.   
    48.     #1) Respect the privacy of others.  
    49.     #2) Think before you type.  
    50.     #3) With great power comes great responsibility.  
    51.   
    52. [sudo] password for user1:   
    53. Matching Defaults entries for user1 on this host:  
    54.     requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME  
    55.     HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME  
    56.     LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION  
    57.     LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC  
    58.     LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS  
    59.     _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin  
    60.   
    61. User user1 may run the following commands on this host:  
    62.     (user2) /bin/ls  
    63. [user1@mail ~]$ ls /home/user2  #user1直接查看user2的家目錄確定是不容許的  
    64. ls: 沒法打開目錄/home/user2: 權限不夠  
    65. [user1@mail ~]$ sudo -u user2 ls /home/user2    #可是sudo以user2的身份查看就能夠  
    66. a  
    67.   
    68. #這裏不能以user2的身份添加用戶,由於user2自己尚未useradd的權限  
    69. #事實上,即便給user2 sudo的添加用戶權限這樣也是不行的,由於user2添加的時候也要sudo的啊  
    70. #直接以user2確定不行,看演示。  
    71. [user1@mail ~]$ sudo -u user2 useradd user4 #這時候不能添加  
    72. Sorry, user user1 is not allowed to execute '/usr/sbin/useradd user4' as user2 on mail.example.com.  
    73. [user1@mail ~]$ exit  
    74. logout  
    75. [root@mail ~]# visudo     
    76. #添加了這行,給user2 sudo添加用戶的權限,這時候sudo -u user2 useradd user4是否能夠呢?不行的!  
    77.  user2   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd  
    78. [root@mail ~]# su - user2  
    79. [user2@mail ~]$ sudo -l  
    80.   
    81. We trust you have received the usual lecture from the local System  
    82. Administrator. It usually boils down to these three things:  
    83.   
    84.     #1) Respect the privacy of others.  
    85.     #2) Think before you type.  
    86.     #3) With great power comes great responsibility.  
    87.   
    88. [sudo] password for user2:   
    89. Matching Defaults entries for user2 on this host:  
    90.     requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME  
    91.     HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME  
    92.     LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION  
    93.     LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC  
    94.     LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS  
    95.     _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin  
    96.   
    97. User user2 may run the following commands on this host:  
    98.     (root) /usr/sbin/useradd, (root) /usr/bin/passwd  
    99. [user2@mail ~]$ su - user1  
    100. 密碼:  
    101. [user1@mail ~]$ sudo -u user2 useradd user4 #答案在此,不行的!  
    102. Sorry, user user1 is not allowed to execute '/usr/sbin/useradd user4' as user2 on mail.example.com.  
    103. [user1@mail ~]$   
    104. #總結下,sudo -u 用戶名 命令 ,當前用戶以某個用戶的身份執行某個命令的時候,必須這個用戶自己不加sudo的狀況  
    105. #直接能執行的命令,才能夠這種方式執行。另外,sudo不加-u,默認以root身份執行  
    106.   
    107. [user1@mail ~]$ exit  
    108. logout  
    109. [user2@mail ~]$ exit  
    110. logout  
    111. [root@mail ~]# visudo   
    112. #改動以下:刪除了91,92行,  
    113.      88 ## Allow root to run any commands anywhere  
    114.      89 root    ALL=(ALL)       ALL  
    115.      90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd  
    116.      91 user1   ALL=(user2)     /bin/ls     #刪除  
    117.      92 user2   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd   #刪除  
    118.   
    119.      88 ## Allow root to run any commands anywhere  
    120.      89 root    ALL=(ALL)       ALL  
    121.      90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd  
    122.      91 ADMIN   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd   #新添加  
    123.   
    124.      20 # User_Alias ADMINS = jsmith, mikem  
    125.      21  User_Alias ADMIN = user1, user2        #新添加  
    126.      22   
    127. #這裏至關於ADMIN爲user1,user2的別名,這個別名具備添加用戶的權限,user1和user2也具備這個權限  
    128. [root@mail ~]# su - user1  
    129. [user1@mail ~]$ sudo -l  
    130. [sudo] password for user1:   
    131. Matching Defaults entries for user1 on this host:  
    132.     requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME  
    133.     HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME  
    134.     LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION  
    135.     LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC  
    136.     LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS  
    137.     _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin  
    138.   
    139. User user1 may run the following commands on this host:  
    140.     (root) /usr/sbin/useradd, (root) /usr/bin/passwd    #能夠看到user1有useradd權限  
    141. [user1@mail ~]$ su - user2  
    142. 密碼:  
    143. [user2@mail ~]$ sudo -l  
    144. [sudo] password for user2:   
    145. Matching Defaults entries for user2 on this host:  
    146.     requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME  
    147.     HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME  
    148.     LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION  
    149.     LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC  
    150.     LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS  
    151.     _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin  
    152.   
    153. User user2 may run the following commands on this host:  
    154.     (root) /usr/sbin/useradd, (root) /usr/bin/passwd    #user2也有  
    155. [user2@mail ~]$   
相關文章
相關標籤/搜索