【正文】 用戶登錄，但這種辦法 并不是最好的；二是我們沒有必要退出 beinan 用戶，可以用 su 來切換到 root 下進行添加用戶的工作，等任務(wù)完成后再退出 root。 [beinanlocalhost ~]$ su Password: [rootlocalhost beinan] pwd /home/beinan su 加參數(shù) ，表示默認切換到 root 用戶，并且改變到 root 用戶的環(huán)境。如果這 10 個用戶都涉及到超級權(quán)限的運用，做為管理員如果想讓其 它用戶通過 su 來切換到超級權(quán)限的 root，必須把 root 權(quán)限密碼都告訴這 10 個用戶；如果這 10 個用戶都有 root權(quán)限，通過 root 權(quán)限可以做任何 事，這在一定程度上就對系統(tǒng)的安全造成了威協(xié)；想想Windows 吧，簡直就是惡夢。 四、 sudo 授權(quán)許可使用的 su，也是受限制的 su sudo 的適用 條件 由于 su 對切換到超級權(quán)限用戶 root 后，權(quán)限的無限制性，所以 su并不能擔任多個管理員所管理的系統(tǒng)。 sudo 執(zhí)行命令的流程是當前用戶切換到 root（或其它指定切換到的用戶），然后以 root（或其它指定的切換到的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當前用戶；而這些的前提是要通過 sudo 的配置文件 /etc/sudoers 來進行授權(quán)。 /etc/sudoers 配置文件中別名規(guī)則 別名規(guī)則定義格式如下： Alias_Type NAME = item1, item2, ... 或 Alias_Type NAME = item1, item2, item3 : NAME = item4, item5 別名類型（ Alias_Type）：別名類型包括如下四種 Host_Alias 定義主機別名； User_Alias 用戶別名，別名成員可以是用戶，用戶組（前面要加 %號） Runas_Alias 用來定義 runas別名，這個別名指定的是 “目的用戶 ”，即 sudo 允許切換至的用戶； Cmnd_Alias 定義命令別名。 item 成員受別名類型 Host_Alias、 User_Alias、 Runas_Alias、 Cmnd_Alias 制約，定義什么類型的別名，就要有什么類型的成員相配。那什么才算是通過主機名相互通信或訪問呢？比如 ping 主機名，或通過遠程訪問主機名來訪 問。 User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注：定義用戶別名，下有四個成員；要在系統(tǒng)中確實在存在的； User_Alias NETAD=beinan,bnnb 注：定義用戶別名 NETAD ，我想讓這個別名下的用戶來管理網(wǎng)絡(luò)，所以取了 NETAD 的別名； User_Alias WEBMASTER=linuxsir 注：定義用戶別名 WEBMASTER，我想用這個別名下的用戶來管理網(wǎng)站； User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir 注：上面三行的別名定義，可以通過這一行來實現(xiàn)，請看前面的說明，是不是符合？ Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [AZaz]*,/bin/chown,/bin/chmod 注意：命令別名下的成員 必須是文件或目錄的絕對路徑； Cmnd_Alias DISKMAG=/sbin/fdisk,/sbin/parted Cmnd_Alias NETMAG=/sbin/ifconfig,/etc/ Cmnd_Alias KILL = /usr/bin/kill Cmnd_Alias PWMAG = /usr/sbin/reboot,/usr/sbin/halt Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ /usr/local/bin/tcsh, /usr/bin/rsh, \ /usr/local/bin/zsh 注：這行定義命令別名有點長，可以通過 \ 號斷行； Cmnd_Alias SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin 在上面的例子中，有 KILL 和 PWMAG 的命令別名定義，我們可以合并為一行來寫，也就是等價行。 授權(quán)規(guī)則并不是無章可尋，我們只說基礎(chǔ)一點的，比較簡單的寫法，如果您想詳細了解授權(quán)規(guī)則寫法的，請參看 man sudoers 授權(quán)用戶 主機 =命令動作 這三個要素缺一不可，但在動作之前也可以指定切換到特定用戶下，在這里指定切換的用戶要用 ( )號括起來，如果不需要密碼直接運行命令的，應(yīng)該加 NOPASSWD:參數(shù)，但這些可以省略；舉例說明。 授權(quán)用戶 主機 =[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] 命令 1,[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] [命令 2],[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] [命令 3]...... 注解： 凡是 [ ]中的內(nèi)容，是可以省略；命令與命令之間用 ,號分隔；通過本文的例子，可 以對照著看哪些是省略了，哪些地方需要有空格。 有可能有的弟兄對系統(tǒng)管理的命令不太懂，不知道其用法，這樣就影響了他對 sudoers定義的理解，下面我們再舉一個最簡單，最有說服務(wù)力的例子。 退回到 beinan 用戶下，用 exit 命令 [rootlocalhost beinan] exit exit [beinanlocalhost ~]$ 查看 beinan 的通過 sudo 能執(zhí)行哪些命令？ [beinanlocalhost ~]$ sudo l Password: 注：在這里輸入 beinan 用戶的密碼 User beinan may run the following mands on this host: 注：在這里清晰的說明在本臺主機上， beinan 用戶可以以 root 權(quán)限運行 more ；在 root 權(quán)限下的 more ，可以查看任何文本文件的內(nèi)容的 (root) /bin/more 最后，我們看看是不是 beinan 用戶有能力看到 /etc/shadow 文件的內(nèi)容 [beinanlocalhost ~]$ sudo more /etc/shadow beinan 不但能看到 /etc/shadow 文件的內(nèi)容，還能看到只有 root權(quán)限下才能看到的其它文件的內(nèi)容，比如： [beinanlocalhost ~]$ sudo more /etc/gshadow 對于 beinan 用戶查看和讀取所有系統(tǒng)文件中，我只想把 /etc/shadow 的內(nèi)容可以讓他查看；可以加入下面的一行： beinan ALL=/bin/more /etc/shadow 題外話：有的弟兄會說，我通過 su 切換到 root 用戶就能看到所有想看的內(nèi)容了，哈哈，對啊。 beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把這行規(guī)則加入到 /etc/sudoers 中；但您得有 beinan 這個用戶組，并且 beinan 也是這個組中的才行。 a