sudo和它的编辑工具visudo

简述

sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。

visudo

授权配置在/etc/sudoers这个文件中，默认这个文件是只读权限，它有个专门的工具叫visudo，这个命令能不仅能编辑这个配置文件，还能对输入内容做语法检测，如果语法有误，会提示错误位置，并且不会保存到配置文件中，它还能指出语法错误。其实visudo命令相当于：vi /etc/sudoers。

配置文件格式

授权配置格式：

who     where=(whom)    commands
用户    主机=（以谁的身份） commands
#用户配置可以是：
    username
    #uid
    %groupname
    %#gid
    user_alias
#主机配置：
    ip
    hostname
    Netaddr
    host_alias
#commands配置
    command #命令要绝对路径指定
    cmnd    #命令别名，灵活使用能提高效率
-----------------------------------
在sudo配置中，可能对多个用户配置多个相同命令，这时候可以使用别名来配置。

#定义别名的方法：
ALIAS_TYPE  NAME=item1, item2, item3, ...       NAME：别名名称，必须使用全大写字符；
        ALIAS_TYPE:
        User_Alias
        Host_Alias
        Runas_Alias
        Cmnd_Alias
                        
例如：
    User_Alias  NETADMIN=tom, jerry
    Cmnd_Alias NETCMND=ip, ifconfig, route
    
    NETADMIN    localhost=(root)    NETCMND

 

sudo命令

语法：sudo [option] [COMMAND]
常用选项：
    -k：清除此前缓存用户成功认证结果，即重新输入密码
    -l：列出能用的命令

sudo有个验票机制，能记录成功认证结果一段时间，默认为5分钟，

示例：

###新建一个用户one,给它开放所有命令。

[root@test2 ~]# visudo

one     ALL=(ALL)       ALL

#切换到one用户，可以通过命令：“sudo -l”，列出可用命令
[one@test2 ~]$ sudo -l
[sudo] password for one: 
匹配此主机上 one 的默认条目：
...

用户 one 可以在该主机上运行以下命令：
    (ALL) ALL   #可以看到此用户可以运行所有命令
    
但这样有风险，万一用户运行sudo - root呢？
这样带来的后果是：只要输入自己用的密码就能登陆root了，
所以我们可以在运行所有命令的同时，也同时禁止某些命令
[root@test2 ~]# visudo 
one     ALL=(ALL)       ALL,!/usr/bin/passwd root #禁止passwd root命令

#测试：
[one@test2 ~]$ sudo passwd root 
对不起，用户 one 无权以 root 的身份在 test2 上执行 /bin/passwd root。

在用户配置上，也可以对组来配置，但需要注意，只能指基本组
例如：对super组配置sudo权限。
先把one用户的配置清除。
[root@test2 ~]# visudo
#one    ALL=(ALL)       ALL,!/usr/bin/passwd root, /usr/bin/sudo root
[one@test2 ~]$ sudo -l
对不起，用户 one 不能在 test2 上运行 sudo。
##接下来创建一个用户组super并把临时切换one用户的基本组
[root@test2 ~]# groupadd super
[root@test2 ~]# usermod -G super one #把one加入super组
[root@test2 ~]# id one 
uid=1001(one) gid=1001(one) 组=1001(one),1011(super)

[root@test2 ~]# visudo
%super  ALL=(root)      ALL
#切换到one用户
[one@test2 ~]$ newgrp super #临时更改基本组
[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令：
    (root) ALL
[one@test2 ~]$ 


可以使用别名来更好的管理sudo用户和命令

例如：使用命令别名定义一组命令，供有相同属性的用户使用。
[root@test2 ~]# visudo
Cmnd_Alias      TEST=/usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root #新建名为TEST的命名别名。
#套用在刚刚的super组上
%super  ALL=(root)      TEST

[root@test2 ~]# su - one
[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令：
    (root) /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root
##可以看到，用户one所能使用的命令是我们定义的别名TEST里的命令。

#如果嫌每5分钟都需要输入一次密码麻烦的话，可以使用一些标签来过滤掉，常用标签有：
NOPASSWD:   无需验证密码
PASSWD:     需要验证密码
例如，在super中，使用TEST命令别名的命令不需要验证密码，但是使用visudo命令则需要密码。

%super  ALL=(root)      NOPASSWD:TEST ,PASSWD:/usr/sbin/visudo

[one@test2 ~]$ sudo -l
用户 one 可以在该主机上运行以下命令：
    (root) NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel, /usr/bin/passwd, !/user/bin/passwd root, (root) PASSWD: /usr/sbin/visudo
[one@test2 ~]$ sudo useradd one1 #创建用户不需要密码
[one@test2 ~]$ sudo visudo
[sudo] password for one:    #visudo需要密码

总结：在生产环境中应该尽量减少使用root用户登录，以免造成不可挽救的后果，在需要管理权限时，临时切换或使用sudo来解决，使用sudo时候，可以使用命令别名或用户别名，能大大提升效率和方便维护。

链接：https://www.jianshu.com/p/fff3ccc3e04e
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。