35、sudo权限设置
提示:sudo的介绍在“13、linux中用户和用户组”中有详细介绍;
(1)简历里要加上如下项目经验:
服务器用户权限管理改造方案与实施项目 日期;
在了解公司业务流程后,提出权限整改解决方案改进公司超级权限root泛滥的现状;
我搜集填写了方案后,给老大看,取得老大的支持后,召集大家开会讨论;
讨论确定可行后,由我负责推进实施;
实施后效果,公司服务器权限管理更加清晰了;
制定了账号权限申请流程及权限申请表格;
(2)企业案例:
(3)真实企业环境:
(4)用户权限分配:
1)批量创建用户:
[root@centos6 ~]# for user in chuji001 chuji003 yunweijingli kf_admin
> do
> useradd $user
> echo "111111" | passwd --stidn $user
> done
2)编辑visudo
#sudo用户使用sudo命令操作时的日志文件;
Defaults logfile=/var/log/sudo.log
#定义可以使用sudo命令的用户,后面用“,”接其它用户;
User_Alias CY_ADMINS=chuji001
User_Alias GY_ADMINS=chuji003
User_Alias ADMINS=kf_admin
#设置sudo用户操作时使用的用户(不设置时,默认使用的是root用户):
Runas_Alias OP=root
#设置sudo用户可以获得操作时使用用户的权限:
Cmnd_Alias CY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifconfig, /bin/netstat, /sbin/route
Cmnd_Alias GY_CMD_1=/user/bin/free, /user/bin/iostat, /user/bin/top, /bin/hostname, /sbin/ifcofnig, /bin/netstat, /sbin/route, /sbin/iptables, /etc/init.d/network, /bin/nice, \
/bin/kill, /usr/bin/kill, /usr/bin/killall, /bin/rpm, /usr/bin/up2date, /usr/bin/yum, /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount, /sbin/service
Cmnd_Alias CMD=ALL, !/usr/bin/passwd [A-Za-z]*, !/usr/bin/visudo, !/usr/bin/vi *sudoer*, !/bin/su -root, !/usr/sbin/useradd *
#(不能删除sudoers)(不建议权限给ALL权限,难控制)
#总体设置生效:
CY_ADMINS ALL=(OP) NOPASSWD:CY_CMD_1
GY_ADMINS ALL=(OP) NOPASSWD:GY_CMD_1
ADMINS ALL=(OP) NOPASSWD:CMD
yunweijingli ALL=(ALL) NOPASSWD:ALL
(5)注意事项: