3五、sudo權限設置

提示：sudo的介紹在「1三、linux中用戶和用戶組」中有詳細介紹；

（1）簡歷裏要加上以下項目經驗：

服務器用戶權限管理改造方案與實施項目 日期；

在瞭解公司業務流程後，提出權限整改解決方案改進公司超級權限root氾濫的現狀；

我搜集填寫了方案後，給老大看，取得老大的支持後，召集你們開會討論；

討論肯定可行後，由我負責推動實施；

實施後效果，公司服務器權限管理更加清晰了；

制定了帳號權限申請流程及權限申請表格；

（2）企業案例：

（3）真實企業環境：

（4）用戶權限分配：

1）批量建立用戶：

[root@centos6 ~]# for user in chuji001 chuji003 yunweijingli kf_admin

> do

> useradd $user

> echo "111111" | passwd --stidn $user

> done

2）編輯visudo

#sudo用戶使用sudo命令操做時的日誌文件;

Defaults logfile=/var/log/sudo.log

#定義能夠使用sudo命令的用戶，後面用「,」接其它用戶；

User_Alias CY_ADMINS=chuji001

User_Alias GY_ADMINS=chuji003

User_Alias ADMINS=kf_admin

#設置sudo用戶操做時使用的用戶(不設置時，默認使用的是root用戶)：

Runas_Alias OP=root

#設置sudo用戶能夠得到操做時使用用戶的權限：

Cmnd_Alias CY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifconfig, /bin/netstat, /sbin/route

Cmnd_Alias GY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifcofnig, /bin/netstat, /sbin/route, /sbin/iptables, /etc/init.d/network, /bin/nice, \

/bin/kill, /usr/bin/kill, /usr/bin/killall, /bin/rpm, /usr/bin/up2date, /usr/bin/yum, /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount, /sbin/service

Cmnd_Alias CMD=ALL, !/usr/bin/passwd [A-Za-z]*, !/usr/bin/visudo, !/usr/bin/vi *sudoer*, !/bin/su -root, !/usr/sbin/useradd *

#（不能刪除sudoers）（不建議權限給ALL權限，難控制）

#整體設置生效：

CY_ADMINS ALL=(OP) NOPASSWD:CY_CMD_1

GY_ADMINS ALL=(OP) NOPASSWD:GY_CMD_1

ADMINS ALL=(OP) NOPASSWD:CMD

yunweijingli ALL=(ALL) NOPASSWD:ALL

（5）注意事項：