sudo 提权

su 命令在用户身份切换时，需要拿到 root 管理员密码;在多人协作时，如果当中某个用户不小心泄露了 root 密码; 那系统会变得非常不安全，为了改进这个问题，从而就有了 sudo ;
其实 sudo 就是给某个普通用户埋下了 浩克hulk 的种子，当需要执行一些特权操作时，进行发怒，获取最高权限，但正常情况下还是普通用户，任然会受到系统的约束以及限制;

提权；

su - [username]
sudo
提权；特权命令时； sudo 是否赋予了对应的权限；如果赋予则可以执行；如果没有，则不行；

1.事先赋予权限给某个用户； 某个组；
2.当用户碰到权限不足时，需要操作，可以调用sudo来执行；
3.如果sudo刚好赋予了权限，就可以成功；否则，失败；
分配：
1.先修改 /etc/sudoers 配置文件；设定对应的权限；

## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL
bob      ALL=(ALL)      /usr/bin/yum　　　　　　　　　　#这里具有yum权限
## Allows members of the 'sys' group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

 

     
2.使用用户测试；

1.将用户加入 wheel 组，默认 wheel 组有 sudo 权限;
[root@node1 ~]# usermod oldxu -G wheel
2.切换到普通用户身份;
root@web ~# su - oldxu
3.普通用户正常情况下无法删除 /opt 目录;
[oldxu@web ~]$ rm -rf /opt/
rm: cannot remove /opt: Permission denied
4.使用 sudo 提权，然后输入普通用户密码，会发现能正常删除无权限的 /opt 目录;

[oldxu@web ~]$ sudo rm -rf /opt
5.后期可以通过审计日志查看普通用户提权都执行了什么操作
[root@web ~]# tail -f /var/log/secure