sudo权限设置基础

1、sudo权限介绍

1 sudo授权：把指定的命令授权给普通用户，让普通用户可以执行指定的命令。（只给用户授权执行一个命令的权限）
2 原则上：
　　  赋予的权限越详细，普通用户得到的权限越小。
　　  赋予的权限越简单，普通用户得到的权限越大。
3 配置文件：/etc/sudoers
　　　　　　/etc/sudoers.d/*
4 日志文件：/var/log/secure
5 帮助文档 man 5 sudoers
6 通过visudo命令编辑配置文件，具有语法检查功能
　　　visudo -c 检查语法
　　　visudo -f /etc/sudoers.d/test

2、授权信息

1 root身份操作：执行visudo命令，赋予普通用户权限命令，命令执行后和vi一样使用。
2 文件权限：
　　用户名 被管理主机的地址（IP地址）=（可使用的身份） 授权命令（绝对路径）
　　root    ALL=（ALL）  ALL
　　组名 被管理主机的地址=（可使用的身份） 授权命令（绝对路径）
　　%wheel    ALL=（ALL）  ALL（组名前边要加上%）
3 被管理主机的地址：这里的IP地址管理的不是登录者来源的IP地址，这里的IP指定的是用户可以管理哪个IP地址的服务器
　这里写本机的IP地址，不代表只允许本机的用户使用指定命令，而代表指定的用户可以从任何IP地址来管理当前服务器
4 可使用身份：就是把来源用户切换成什么身份使用（就是把前面用户的身份，切换成什么身份），（ALL）代表可以切换成任意身份，包括root。这个字段可以省略，代表切换成root

 3、示例

1 授权用户user1可以重启服务器
　　[root@localhost ~ ] # visudo
　　user1 ALL /sbin/shutdown -r now
2 查看可用的授权
　　sudo -l
3 授权用户user1可以添加其它普通用户
　　[root@localhost ~ ] # visudo
　　# 赋予user1添加用户权限，命令必须写入绝对路径
　　user1 ALL=/usr/sbin/useradd
　　# 赋予改密码权限
　　 user1 ALL=/usr/bin/passwd
　　#取消对root用户的密码修改
　　user1 ALL=/usr/bin/passwd [A-Za-z]*, ！/usr/bin/passwd"", ！/usr/bin/passwd root