在 Linux 中使用超級用戶權限

在你想要使用超級權限臨時運行一條命令時，sudo 命令很是方便，可是當它不能如你指望的工做時，你也會遇到一些麻煩。好比說你想在某些日誌文件結尾添加一些重要的信息，你可能會嘗試這樣作：

$ echo "Important note" >> /var/log/somelog

-bash: /var/log/somelog: Permission denied

好吧，看起來你彷佛須要一些額外的特權。通常來講，你不能使用你的用戶帳號向系統日誌中寫入東西。咱們使用 sudo 再嘗試一次吧。

$ sudo !!
sudo echo "Important note" >> /var/log/somelog
-bash: /var/log/somelog: Permission denied

嗯，它仍是沒有啥反應。咱們來試點不一樣的吧。

$ sudo 'echo "Important note" >> /var/log/somelog'
sudo: echo "Important note" >> /var/log/somelog: command not found

接下來該幹什麼？

上面在執行完第一條命令後的迴應顯示，咱們缺乏向日志文件寫入時必須的特權。第二次，咱們使用 root 權限運行了第一次的命令，可是返回了一個「沒有權限」的錯誤。第三次，咱們把整個命令放在一個引號裏面再運行了一遍，返回了一個「沒有發現命令」的錯誤。因此，到底錯在哪裏了呢？

• 第一條命令：沒有 root 特權，你沒法向這個日誌中寫入東西。
• 第二條命令：你的超級權限沒有延伸到重定向。
• 第三條命令：sudo 不理解你用引號括起來的整個 「命令」。

並且若是你的用戶還未添加到 sudo 用戶組的時候，若是嘗試使用 sudo，你可能已經看到過像下面的這麼一條錯誤了：

nemo is not in the sudoers file. This incident will be reported.

你能夠作什麼？

一個至關簡單的選擇就是使用 sudo 命令暫時成爲 root。鑑於你已經有了 sudo 特權，你可使用下面的命令執行此操做：

$ sudo su

[sudo] password for nemo:

#

注意這個改變的提示符代表了你的新身份。而後你就能夠以 root 運行以前的命令了：

# echo "Important note" >> /var/log/somelog

接着你能夠輸入 ^d 返回你以前的身份。固然了，一些 sudo 的配置可能會阻止你使用 sudo 命令成爲 root。

另外一個切換用戶爲 root 的方法是僅用 su 命令，可是這須要你知道 root 密碼。許多人被賦予了訪問 sudo 的權限，而並不知道 root 密碼，因此這並非老是可行。

（採用 su 直接）切換到 root 以後，你就能夠以 root 的身份運行任何你想執行的命令了。這種方式的問題是：1) 每一個想要使用 root 特權的人都須要事先知道 root 的密碼（這樣不很安全）；2) 若是在運行須要 root 權限的特定命令後未能退出特權狀態，你的系統可能會受到一些重大錯誤的波及。sudo 命令旨在容許您僅在真正須要時使用 root 權限，並控制每一個 sudo 用戶應具備的 root 權限。它也可使你在使用完 root 特權以後輕鬆地回到普通用戶的狀態。

另外請注意，整個討論的前提是你能夠正常地訪問 sudo，而且你的訪問權限沒有受限。詳細的內容後面會介紹到。

還有一個選擇就是使用一個不一樣的命令。若是經過編輯文件從而在其後添加內容是一種選擇的話，你也許可使用 sudo vi /var/log/somelog，雖然編輯一個活躍的日誌文件一般不是一個好主意，由於系統可能會頻繁的向這個文件中進行寫入操做。

最後一個可是有點複雜的選擇是，使用下列命令之一能夠解決咱們以前看到的問題，可是它們涉及到了不少複雜的語法。第一個命令容許你在獲得 「沒有權限」 的拒絕以後可使用 !! 重複你的命令：

$ sudo echo "Important note" >> /var/log/somelog

-bash: /var/log/somelog: Permission denied

$ !!:gs/>/|sudo tee -a /    <=====

$ tail -1 /var/log/somelog

Important note

第二種是經過 sudo 命令，把你想要添加的信息傳遞給 tee。注意，-a 指定了你要附加文本到目標文件：

$ echo "Important note" | sudo tee -a /var/log/somelog

$ tail -1 /var/log/somelog

Important note

sudo 有多可控？？

回答這個問題最快速的回答就是，它取決於管理它的人。大多數 Linux 的默認設置都很是簡單。若是一個用戶被安排到了一個特別的組中，例如 wheel 或者 admin組，那這個用戶無需知道 root 的密碼就能夠擁有運行任何命令的能力。這就是大多數 Linux 系統中的默認設置。一旦在 /etc/group 中添加了一個用戶到了特權組中，這個用戶就能夠以 root 的權力運行任何命令。另外一方面，能夠配置 sudo，以便一些用戶只可以以 root 身份運行單一指令或者一組命令中的任何一個。

若是把像下面展現的這些行添加到了 /etc/sudoers 文件中，例如 「nemo」 這個用戶能夠以 root 身份運行 whoami 命令。在現實中，這可能不會形成任何影響，它很是適合做爲一個例子。

# User alias specification
nemo ALL=(root) NOPASSWD: WHOAMI
# Cmnd alias specification
Cmnd_Alias WHOAMI = /usr/bin/whoami

注意，咱們添加了一個命令別名（Cmnd_Alias），它指定了一個能夠運行的命令的全路徑，以及一個用戶別名，容許這個用戶無需密碼就可使用 sudo 執行的單個命令。

當 nemo 運行 sudo whoami 命令的時候，他將會看到這個：

$ sudo whoami

root

注意這個，由於 nemo 使用 sudo 執行了這條命令，whoami 會顯示該命令運行時的用戶是 root。

至於其餘的命令，nemo 將會看到像這樣的一些內容：

$ sudo date

[sudo] password for nemo:

Sorry, user nemo is not allowed to execute '/bin/date' as root on butterfly.

sudo 的默認設置

在默認路徑中，咱們會利用像下面展現的 /etc/sudoers 文件中的幾行：

$ sudo egrep "admin|sudo" /etc/sudoers

# Members of the admin group may gain root privileges

%admin ALL=(ALL) ALL        <=====

# Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL     <=====

在這幾行中，%admin 和 %sudo 都說明了任何添加到這些組中的人均可以使用 sudo 命令以 root 的身份運行任何命令。

下面列出的是 /etc/group 中的一行，它意味着每個在該組中列出的成員，都擁有了 sudo 特權，而無需在 /etc/sudoers 中進行任何修改。

sudo:x:27:shs,nemo

總結

sudo 命令意味着你能夠根據須要輕鬆地部署超級用戶的訪問權限，並且只有在須要的時候才能賦予用戶很是有限的特權訪問權限。你可能會遇到一些與簡單的 sudo command 不一樣的問題，不過在 sudo 的迴應中應該會顯示你遇到了什麼問題。