3.8 sudo命令

sudo命令介紹

• sudo命令，能夠不切換用戶就能夠獲取其餘用戶的權限來執行相關命令。(一般狀況就是，給普通用戶受權root用戶的身份)
  • visudo命令，能夠打開sudo命令的配置文件(會看到其實代開的是/etc/sudoers.tmp這個文件)

  [root@hf-01 ~]# visudo  會進入/etc/sudoers.tmp的配置文件中
  
   97 ## Allow root to run any commands anywhere
   98 root    ALL=(ALL)       ALL
   99 hanfeng ALL=(ALL)       /usr/bin/ls, /usr/bin/mv, /usr/bin/ls
   [root@hf-01 ~]#

  1. 輸入 :set nu 來顯示行號
  2. 咱們在root用戶下面一行，在添加一個用戶，並能夠運/usr/bin/ls, usr/bin/mv, /usr/bin/cat命令，可寫多個， 也可寫ALL(表示全部)
  3. 而後 :wq 保存退出

1. 默認root支持sudo，由於文件中默認有root ALL=(ALL) ALL 。
2. 在這一行下面加入 hanfeng ALL=(ALL) /usr/bin/ls, /usr/bin/mv, /usr/bin/ls ,意思是hanfeng這個用戶在執行sudo這個命令時，能夠獲取部分root用戶的權限。

• 從左到右依次爲，第一個ALL就能夠理解爲主機的意思，第二個ALL是能夠獲取哪一個用戶的權限，All就是全部包括root，第三個ALL是指使用sudo執行全部命令。

sudo命令的用法

sudo命令用法一

• su命令能夠切換用戶身份
• 在 su 在切換成普通用戶後，是沒法查看/root/目錄的，這時用sudo命令，則可讓該用戶臨時擁有root用戶的權限
• 使用在visudo命令中，編輯的命令要使用絕對路徑

[root@hf-01 ~]# su - hanfeng
上一次登陸：四 11月  2 03:52:44 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ ls /root/
ls: 沒法打開目錄/root/: 權限不夠
[hanfeng@hf-01 ~]$ sudo /usr/bin/ls /root/  在執行命令後，會提示輸入hanfeng用戶的密碼

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for hanfeng: 
11.txt	234    33.txt   ha.txt
[hanfeng@hf-01 ~]$ ls /root/    在hanfeng用戶下直接去執行會發現沒法打開/root/目錄
ls: 沒法打開目錄/root/: 權限不夠
[hanfeng@hf-01 ~]$ sudo /usr/bin/ls /root/
11.txt	234    33.txt   ha.txt
[hanfeng@hf-01 ~]$ mv /root/ha.txt /root/haha.txt
mv: 沒法打開目錄/root/: 權限不夠
[hanfeng@hf-01 ~]$ sudo /usr/bin/mv /root/ha.txt /root/haha.txt
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

sudo命令用法二

• 在visudo命令中， 編輯/etc/sudoers.tmp配置文件，設置NOPASSWD: ALL，則以後不再須要輸入密碼。
• 在sudo命令下，可使用絕對路徑命令，也能夠直接使用命令去執行，獲得的結果相同

[root@hf-01 ~]# visudo
[root@hf-01 ~]# su - user2
上一次登陸：四 11月  2 07:17:04 CST 2017pts/0 上
[user2@hf-01 ~]$ ls /root/
ls: 沒法打開目錄/root/: 權限不夠
[user2@hf-01 ~]$ sudo ls /root/
11.txt	234    33.txt  haha.txt
[user2@hf-01 ~]$ sudo /usr/bin/ls /root/
11.txt	234    33.txt  haha.txt
[user2@hf-01 ~]$ 登出
[root@hf-01 ~]#

sudo命令用法三

• 在visudo命令中，給一些用戶設置一些別名，這裏的別名至關於一個虛擬的用戶
  • 如：User Aliases 給用戶作一個別名
  • 其中的ADMINS是虛擬用戶，jsmith, mikem是兩個真實用戶，因此說虛擬用戶裏面存在兩個真實用戶

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem

• 在visudo命令中，給命令設置一些別名

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient        , /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig        , /sbin/mii-tool

例子：

[root@hf-01 ~]# visudo 進入到配置環境中

而後到
## Networking   那一段落最後加上
HANFENG_CMD = /usr/bin/ls, /usr/bin/mv, /usr/bin/cat

並將用戶名hanfeng後面，去除那些絕對路徑命令，修改上HANFENG_CMD，而後保存退出
root    ALL=(ALL)       ALL
hanfeng ALL=(ALL)       HANFENG_CMD

[root@hf-01 ~]# su - hanfeng
上一次登陸：四 11月  2 05:46:40 CST 2017pts/0 上
[hanfeng@hf-01 ~]$ sudo ls /root/       這裏會發現能夠查看/root/目錄下的文件
[sudo] password for hanfeng: 
11.txt	234    33.txt   haha.txt
[hanfeng@hf-01 ~]$ sudo ls /root/
11.txt	234    33.txt   haha.txt
[hanfeng@hf-01 ~]$ sudo cat /root/haha.txt
[hanfeng@hf-01 ~]$ 登出
[root@hf-01 ~]#

• 對用戶組作出一些限制

## Allows people in group wheel to run all commands
    109 %wheel  ALL=(ALL)       ALL

sudo命令總結：

1. 在visudo命令中的配置文件下，輸入 :set nu 則每行會顯示出行號。
2. 在第一次使用sudo命令，去執行某條命令，會要求輸入當前用戶的密碼，但在第二次執行該條命令時，直接輸入便可執行(或者，在visudo的配置文件中，在該用戶的寫上無需密碼，如hanfeng ALL=(ALL) NOPASSWD:ALL 就可直接登陸，無需密碼了)，再添加命令須要使用絕對路徑
3. 在visudo的配置文件中寫錯了，保存退出後，會報錯，這時選擇 e 而後回車繼續進去編輯便可。
4. 在visudo的配置文件中，添加命令，須要使用絕對路徑（使用命令的時候可使用絕對路徑命令或命令去執行）
5. sudo命令，就是用普通用戶臨時擁有root用戶的身份，去執行某一條命令。(這樣就能夠避免將root用戶給普通用戶了)
6. 給用戶、命令作一些別名，對用戶組作出一些限制