sudo及其配置文件sudoers詳解、實例

sudo是linux下經常使用的容許普通用戶使用超級用戶權限的工具。 它的主要配置文件是sudoers,linux下一般在/etc目錄下，若是是solaris，缺省不裝sudo的，編譯安裝後一般在安裝目錄的etc目 錄下，不過無論sudoers文件在哪兒，sudo都提供了一個編輯該文件的命令：visudo來對該文件進行修改。強烈推薦使用該命令修改 sudoers，由於它會幫你校驗文件配置是否正確，若是不正確，在保存退出時就會提示你哪段配置出錯的。 言歸正傳，下面介紹如何配置sudoers 首先寫sudoers的缺省配置： ############################################################# # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # Defaults specification # User privilege specification root ALL=(ALL) ALL # Uncomment to allow people in group wheel to run all commands # %wheel        ALL=(ALL)    ALL # Same thing without a password # %wheel        ALL=(ALL)    NOPASSWD: ALL # Samples # %users   ALL=/sbin/mount /cdrom,/sbin/umount /cdrom # %users   localhost=/sbin/shutdown -h now ################################################################## 1. 最簡單的配置，讓普通用戶support具備root的全部權限 執行visudo以後，能夠看見缺省只有一條配置： root ALL=(ALL) ALL 那麼你就在下邊再加一條配置： support ALL=(ALL) ALL 這樣，普通用戶support就可以執行root權限的全部命令 以support用戶登陸以後，執行： sudo su - 而後輸入support用戶本身的密碼，就能夠切換成root用戶了 2. 讓普通用戶support只能在某幾臺服務器上，執行root能執行的某些命令 首先須要配置一些Alias，這樣在下面配置權限時，會方便一些，不用寫大段大段的配置。Alias主要分紅4種 Host_Alias Cmnd_Alias User_Alias Runas_Alias 1) 配置Host_Alias：就是主機的列表 Host_Alias    HOST_FLAG = hostname1, hostname2, hostname3 2) 配置Cmnd_Alias：就是容許執行的命令的列表 Cmnd_Alias    COMMAND_FLAG = command1, command2, command3 3) 配置User_Alias：就是具備sudo權限的用戶的列表 User_Alias USER_FLAG = user1, user2, user3 4) 配置Runas_Alias：就是用戶以什麼身份執行（例如root，或者oracle）的列表 Runas_Alias RUNAS_FLAG = operator1, operator2, operator3 5) 配置權限 配置權限的格式以下： USER_FLAG HOST_FLAG=(RUNAS_FLAG) COMMAND_FLAG 若是不須要密碼驗證的話，則按照這樣的格式來配置 USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: COMMAND_FLAG 配置示例： ############################################################################ # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification Host_Alias    EPG = 192.168.1.1, 192.168.1.2 # User alias specification # Cmnd alias specification Cmnd_Alias    SQUID = /opt/vtbin/squid_refresh, /sbin/service, /bin/rm # Defaults specification # User privilege specification root ALL=(ALL) ALL support EPG=(ALL) NOPASSWD: SQUID # Uncomment to allow people in group wheel to run all commands # %wheel        ALL=(ALL)    ALL # Same thing without a password # %wheel        ALL=(ALL)    NOPASSWD: ALL # Samples # %users   ALL=/sbin/mount /cdrom,/sbin/umount /cdrom # %users   localhost=/sbin/shutdown -h now ############################################################### 咱們不可使用su讓他們直接變成root，由於這些用戶都必須知道root的密碼，這種方法很不安全，並且也不符合咱們的分工需求。通常的作法是利用權 限的設置，依工做性質分類，讓特殊身份的用戶成爲同一個工做組，並設置工做組權限。例如：要wwwadm這位用戶負責管理網站數據，通常Apache Web Server的進程httpd的全部者是www，您能夠設置用戶wwwadm與www爲同一工做組，並設置Apache默認存放網頁目錄 /usr/local/httpd/htdocs的工做組權限爲可讀、可寫、可執行，這樣屬於此工做組的每位用戶就能夠進行網頁的管理了。  但這並非最好的解決辦法，例如管理員想授予一個普通用戶關機的權限，這時使用上述的辦法就不是很理想。這時您也許會想，我只讓這個用戶能夠以 root身份執行shutdown命令就好了。徹底沒錯，惋惜在一般的Linux系統中沒法實現這一功能，不過已經有了工具能夠實現這樣的功能—— sudo。  sudo經過維護一個特權到用戶名映射的數據庫將特權分配給不一樣的用戶，這些特權可由數據庫中所列的一些不一樣的命令來識別。爲了得到某一特權項，有資格的 用戶只需簡單地在命令行輸入sudo與命令名以後，按照提示再次輸入口令（用戶本身的口令，不是root用戶口令）。例如，sudo容許普通用戶格式化磁 盤，可是卻沒有賦予其餘的root用戶特權。  一、sudo工具由文件/etc/sudoers進行配置，該文件包含全部能夠訪問sudo工具的用戶列表並定義了他們的特權。一個典型的/etc/sudoers條目以下：  代碼:  liming ALL=(ALL) ALL  這個條目使得用戶liming做爲超級用戶訪問全部應用程序，如用戶liming須要做爲超級用戶運行命令，他只需簡單地在命令前加上前綴sudo。所以，要以root用戶的身份執行命令format，liming能夠輸入以下命令：  代碼:  # sudo /usr/sbin/useradd sam  注意：命令要寫絕對路徑，/usr/sbin默認不在普通用戶的搜索路徑中，或者加入此路徑：PATH=$PATH:/usr/sbin;export PATH。另外，不一樣系統命令的路徑不盡相同，可使用命令「whereis 命令名」來查找其路徑。  這時會顯示下面的輸出結果：  代碼:  We trust you have received the usual lecture from the local System  Administrator. It usually boils down to these two things:  #1) Respect the privacy of others.  #2) Think before you type.  Password:  若是liming正確地輸入了口令，命令useradd將會以root用戶身份執行。  注意：配置文件/etc/sudoers必須使用命令 Visudo來編輯。  只要把相應的用戶名、主機名和許可的命令列表以標準的格式加入到文件/etc/sudoers，並保存就能夠生效，再看一個例子。  二、例子：管理員須要容許gem用戶在主機sun上執行reboot和shutdown命令，在/etc/sudoers中加入：  代碼:  gem sun=/usr/sbin/reboot，/usr/sbin/shutdown  注意：命令必定要使用絕對路徑，以免其餘目錄的同名命令被執行，從而形成安全隱患。  而後保存退出，gem用戶想執行reboot命令時，只要在提示符下運行下列命令：  代碼:  $ sudo /usr/sbin/reboot  輸入正確的密碼，就能夠重啓服務器了。  若是您想對一組用戶進行定義，能夠在組名前加上%，對其進行設置，如：  代碼:  %cuug ALL=(ALL) ALL  三、另外，還能夠利用別名來簡化配置文件。別名相似組的概念，有用戶別名、主機別名和命令別名。多個用戶能夠首先用一個別名來定義，而後在規定他們能夠執 行什麼命令的時候使用別名就能夠了，這個配置對全部用戶都生效。主機別名和命令別名也是如此。注意使用前先要在/etc/sudoers中定義： User_Alias, Host_Alias, Cmnd_Alias項，在其後面加入相應的名稱，也以逗號分隔開就能夠了，舉例以下：  代碼:  Host_Alias SERVER=no1  User_Alias ADMINS=liming，gem  Cmnd_Alias SHUTDOWN=/usr/sbin/halt，/usr/sbin/shutdown，/usr/sbin/reboot  ADMINS SERVER=SHUTDOWN  、再看這個例子：  代碼:  ADMINS ALL=(ALL) NOPASSWD: ALL  表示容許ADMINS不用口令執行一切操做，其中「NOPASSWD:」項定義了用戶執行操做時不須要輸入口令。  五、sudo命令還能夠加上一些參數，完成一些輔助的功能，如  代碼:  $ sudo –l  會顯示出相似這樣的信息：  代碼:  User liming may run the following commands on this host:  (root) /usr/sbin/reboot  說明root容許用戶liming執行/usr/sbin/reboot命令。這個參數可使用戶查看本身目前能夠在sudo中執行哪些命令。  六、在命令提示符下鍵入sudo命令會列出全部參數，其餘一些參數以下：  代碼:  -V 顯示版本編號。  -h 顯示sudo命令的使用參數。  -v 由於sudo在第一次執行時或是在N分鐘內沒有執行（N預設爲5）會詢問密碼。這個參數是從新作一次確認，若是超過N分鐘，也會問密碼。  -k 將會強迫使用者在下一次執行sudo時詢問密碼（不論有沒有超過N分鐘）。  -b 將要執行的命令放在背景執行。  -p prompt 能夠更改問密碼的提示語，其中%u會替換爲使用者的帳號名稱，%h會顯示主機名稱。  -u username/#uid 不加此參數，表明要以root的身份執行命令，而加了此參數，能夠以username的身份執行命令（#uid爲該username的UID）。  -s 執行環境變量中的 SHELL 所指定的 Shell ，或是 /etc/passwd 裏所指定的 Shell。  -H 將環境變量中的HOME（宿主目錄）指定爲要變動身份的使用者的宿主目錄。（如不加-u參數就是系統管理者root。）  要以系統管理者身份（或以-u更改成其餘人）執行的命令。 ##########################     實         例     ############################### 實例一： beinan ALL=/bin/chown,/bin/chmod 假如咱們在/etc/sudoers 中添加這一行，表示beinan 可以在任何可能出現的主機名的系統中，可以轉換到root用戶下執行 /bin/chown 和/bin/chmod 命令，經過sudo -l 來查看beinan 在這臺主機上容許和禁止運行的命令； 值得注意的是，在這裏省略了指定轉換到哪一個用戶下執行/bin/shown 和/bin/chmod命令；在省略的狀況下默認爲是轉換到root用戶下執行；同時也省略了是否是須要beinan用戶輸入驗證密碼，假如省略了，默認爲是須要驗證密碼。 爲了更周詳的說明這些，咱們可以構造一個更復雜一點的公式； 受權用戶 主機=[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] 命令1,[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] [命令2],[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] [命令3].... 註解： 凡是[ ]中的內容，是可以省略；命令和命令之間用,號分隔；經過本文的例子，可以對照着看哪些是省略了，哪些地方須要有空格； 在[(轉換到哪些用戶或用戶組)] ，假如省略，則默認爲root用戶；假如是ALL ，則表明能轉換到任何用戶；注意要轉換到的目的用戶必須用()號括起來，好比(ALL)、(beinan) 實例二： beinan ALL=(root) /bin/chown, /bin/chmod 假如咱們把第一個實例中的那行去掉，換成這行；表示的是beinan 可以在任何可能出現的主機名的主機中，可以轉換到root下執行 /bin/chown ，可以轉換到任何用戶招執行/bin/chmod 命令，經過sudo -l 來查看beinan 在這臺主機上容許和禁止運行的命令； 實例三： beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod 假如換成這個例子呢？表示的是beinan 可以在任何可能出現的主機名的主機中，可以轉換到root下執行 /bin/chown ，無需輸入beinan用戶的密碼；而且可以轉換到任何用戶下執行/bin/chmod 命令，但執行chmod時須要beinan輸入本身的密碼；經過sudo -l 來查看beinan 在這臺主機上容許和禁止運行的命令； 關於一個命令動做是否是須要密碼，咱們可以發如今系統在默認的狀況下是須要用戶密碼的，除非特加指出無需用戶須要輸入本身密碼，因此要在執行動做以前加入NOPASSWD: 參數； 有可能有的弟兄對系統管理的命令不太懂，不知道其用法，這樣就影響了他對 sudoers定義的理解，下面咱們再舉一個最簡單，最有說服務力的例子； 實例四： 好比咱們想用beinan普通用戶經過more /etc/shadow文檔的內容時，可能會出現下面的狀況； [beinan@localhost ~]?$ more /etc/shadow/etc/shadow: 權限不夠 這時咱們可以用sudo more /etc/shadow 來讀取文檔的內容；就就須要在/etc/soduers中給beinan受權 因而咱們就可以先su 到root用戶下經過visudo 來改/etc/sudoers ；（好比咱們是以beinan用戶登陸系統的） [beinan@localhost ~]?$ su Password: 注：在這裏輸入root密碼 下面運行visodu； [root@localhost beinan]# visudo 注：運行visudo 來改 /etc/sudoers 加入以下一行，退出保存；退出保存，在這裏要會用vi，visudo也是用的vi編輯器；至於vi的用法很少說了； beinan ALL=/bin/more 表示beinan可以轉換到root下執行more 來查看文檔； 退回到beinan用戶下，用exit命令； [root@localhost beinan]# exit exit [beinan@localhost ~]?$ 查看beinan的經過sudo能執行哪些命令？ [beinan@localhost ~]?$ sudo -l Password: 注：在這裏輸入beinan用戶的密碼 User beinan may run the following commands on this host: 注：在這裏清楚的說明在本臺主機上，beinan用戶可以以root權限運行more ；在root權限下的more ，可以查看任何文本文檔的內容的； (root) /bin/more 最後，咱們看看是否是beinan用戶有能力看到/etc/shadow文檔的內容； [beinan@localhost ~]?$ sudo more /etc/shadow beinan 不但能看到 /etc/shadow文檔的內容，還能看到只有root權限下才能看到的其餘文檔的內容，好比； [beinan@localhost ~]?$ sudo more /etc/gshadow 對於beinan用戶查看和讀取任何系統文檔中，我只想把/etc/shadow 的內容可以讓他查看；可以加入下面的一行； beinan ALL=/bin/more /etc/shadow 題外話：有的弟兄會說，我經過su 轉換到root用戶就能看到任何想看的內容了，哈哈，對啊。但我們如今不是在講述sudo的用法嗎？假如主機上有多個用戶而且不知道root用戶的密碼，但又想查看某些他們看不到的文檔，這時就須要管理員受權了；這就是sudo的好處； 實例五：練習用戶組在/etc/sudoers中寫法； 假如用戶組出如今/etc/sudoers 中，前面要加%號，好比%beinan ，中間不能有空格；%beinan ALL=/usr/sbin/*,/sbin/* 假如咱們在 /etc/sudoers 中加上如上一行，表示beinan用戶組下的任何成員，在任何可能的出現的主機名下，都能轉換到root用戶下運行 /usr/sbin和/sbin目錄下的任何命令； 實例六：練習取消某類程式的執行： 取消程式某類程式的執行，要在命令動做前面加上!號； 在本例中也出現了通配符的*的用法； beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把這行規則加入到/etc/sudoers中；但您得有beinan這個用戶組，而且beinan也是這個組中的才行； 本規則表示beinan用戶在任何可能存在的主機名的主機上運行/usr/sbin和/sbin下任何的程式，但fdisk 程式除外； [beinan@localhost ~]?$ sudo -l Password: 注：在這裏輸入beinan用戶的密碼； User beinan may run the following commands on this host:(root) /usr/sbin/*(root) /sbin/*(root) !/sbin/fdisk[beinan@localhost ~]?$ sudo /sbin/fdisk -lSorry, user beinan is not allowed to execute '/sbin/fdisk -l' as root on localhost. 注：不能轉換到root用戶下運行fdisk 程式； 實例七：別名的運用實踐； 假如咱們就一臺主機localhost，能經過hostname 來查看，咱們在這裏就不定義主機別名了，用ALL來匹配任何可能出現的主機名；而且有beinan、linuxsir、lanhaitun 用戶；主要是經過小例子能更好理解；sudo雖然簡單好用，但能把說的明白的確是件難事；最好的辦法是多看例子和man soduers ； User_Alias SYSADER=beinan,linuxsir,%beinan User_Alias DISKADER=lanhaitun Runas_Alias OP=root Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注：定義命令別名DSKCMD，下有成員parted和fdisk ； SYSADER ALL= SYDCMD,DSKCMDDISKADER     ALL=(OP) DSKCMD 註解： 第一行：定義用戶別名SYSADER 下有成員 beinan、linuxsir和beinan用戶組下的成員，用戶組前面必須加%號； 第二行：定義用戶別名 DISKADER ，成員有lanhaitun 第三行：定義Runas用戶，也就是目標用戶的別名爲OP，下有成員root 第四行：定義SYSCMD命令別名，成員之間用,號分隔，最後的!/usr/bin/passwd root 表示不能經過passwd 來更改root密碼； 第五行：定義命令別名DSKCMD，下有成員parted和fdisk ； 第六行：表示受權SYSADER下的任何成員，在任何可能存在的主機名的主機下運行或禁止 SYDCMD和DSKCMD下定義的命令。更爲明確遙說，beinan、linuxsir和beinan用戶組下的成員能以root身份運行 chown 、chmod 、adduser、passwd，但不能更改root的密碼；也可以以root身份運行 parted和fdisk ，本條規則的等價規則是； beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk 第七行：表示受權DISKADER 下的任何成員，能以OP的身份，來運行 DSKCMD ，無需密碼；更爲明確的說 lanhaitun 能以root身份運行 parted和fdisk 命令；其等價規則是： lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk 可能有的弟兄會說我想不輸入用戶的密碼就能轉換到root並運行SYDCMD和DSKCMD 下的命令，那應該把把NOPASSWD:加在哪裏爲好？理解下面的例子吧，能明白的； SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD