【正文】 sudo 的用法 我們?cè)谇懊嬷v的 /etc/sudoers 的規(guī)則寫(xiě)法，最終的目的是讓用戶通過(guò) sudo讀取配置文件中的規(guī)則來(lái)實(shí)現(xiàn)匹配和授權(quán)，以便替換身份來(lái)進(jìn)行命令操作，進(jìn)而完成在其權(quán)限下不可完成的任務(wù)。 本規(guī)則表示 beinan 用戶在所有可能存在的主機(jī)名的主機(jī)上運(yùn)行 /usr/sbin 和 /sbin 下所有的程序，但 fdisk 程序除外。 實(shí)例四： 比如我們想用 beinan 普通用戶通過(guò) more /etc/shadow文件的內(nèi)容時(shí)，可 能會(huì)出現(xiàn)下面的情況： [beinanlocalhost ~]$ more /etc/shadow /etc/shadow: 權(quán)限不夠 這時(shí)我們可以用 sudo more /etc/shadow 來(lái)讀取文件的內(nèi)容；就就需要在 /etc/soduers中給beinan 授權(quán)。 實(shí)例一： beinan ALL=/bin/chown,/bin/chmod 如果我們?cè)?/etc/sudoers 中添加這一行，表示 beinan 可以在任何可能出現(xiàn)的主機(jī)名的系統(tǒng)中，可以切換到 root 用戶下執(zhí)行 /bin/chown 和 /bin/chmod 命令，通過(guò) sudo l 來(lái)查看beinan 在這臺(tái)主機(jī)上允許和禁止運(yùn)行的命令。在我們局域網(wǎng)中，如果讓計(jì)算機(jī)通過(guò)主機(jī)名訪問(wèn)通信，必須設(shè)置 /etc/hosts， /etc / ，還要有 DNS 做解析，否則相互之間無(wú)法通過(guò)主機(jī)名訪問(wèn)；在設(shè)置主機(jī)別名時(shí)，如果項(xiàng)目是中某個(gè)項(xiàng)目是主機(jī)名的話，可以通過(guò)hostname 命令來(lái)查看本地主機(jī)的主機(jī)名，通過(guò) w 命令查來(lái)看登錄主機(jī)是來(lái)源，通過(guò)來(lái)源來(lái)確認(rèn)其它客戶機(jī)的主機(jī)名或 ip 地址；對(duì)于主機(jī)別名的定義，看上去有點(diǎn)復(fù)雜，其實(shí) 是很簡(jiǎn)單。 NAME 就是別名了， NMAE 的命名是包含大寫(xiě)字母、下劃線以及數(shù)字，但必須以一個(gè)大寫(xiě)字母開(kāi)頭，比如 SYNADM、 SYN_ADM 或 SYNAD0 是合法的， sYNAMDA或 1SYNAD是不合法的。如果用 su 來(lái)切換到超級(jí)用戶來(lái)管理系統(tǒng)，也不能明確哪些工作是由哪個(gè)管理員進(jìn)行的操作。 [beinanlocalhost ~]$ pwd /home/beinan [beinanlocalhost ~]$ su Password: [rootlocalhost ~] pwd /root su 參數(shù) 用戶名 [beinanlocalhost ~]$ su root 注：這個(gè)和 su 是一樣的功能。而如何才能不直接 以 root 登錄，卻能從普通用戶切換到 root 用戶下才能進(jìn)行操作系統(tǒng)管理需要的工作，這就涉及到超級(jí)權(quán)限管理的問(wèn)題。 如果我們不把 UID 的 0值的分享給其它用戶使用，只有 root 用戶是唯一擁有 UID=0 的話， root 用戶就是唯一的超級(jí)權(quán)限用戶。超級(jí)用戶具有在系統(tǒng)約定的最高權(quán)限 滿園內(nèi)操作，所以說(shuō)超級(jí)用戶可以完成系統(tǒng)管理的所有工具；我們可以通過(guò) /etc/passwd 來(lái)查得 UID 為 0 的用戶是 root，而且只有 root 對(duì)應(yīng)的 UID 為 0，從這一點(diǎn)來(lái)看， root 用戶在系統(tǒng)中是無(wú)可替代的至高地位和無(wú)限制權(quán)限。 在系統(tǒng)中，每個(gè)文件、目錄和進(jìn)程，都?xì)w屬于某一個(gè)用戶，沒(méi)有用戶許可其它普通用戶是無(wú)法操作的，但對(duì) root 除外。比如我們?cè)谙到y(tǒng)中把 beinan 這個(gè)普通用戶的 UID 改為 0 后，事 實(shí)上這個(gè)普通用戶就具有了超級(jí)權(quán)限，他的能力和權(quán)限和 root用戶一樣；用戶 beinan 所有的操作都將被標(biāo)識(shí)為 root 的操作，因?yàn)?beinan 的 UID 為 0,而UID 為 0 的用戶是 root ，是不是有點(diǎn)擾口？也可以理解為 UID 為 0 的用戶就是 root ， root用戶的 UID 就是 0。 比如用 adduser 來(lái)添加用戶，這個(gè)只能用通過(guò)超級(jí)權(quán)限的用戶來(lái)完成。 通過(guò) su 可以在用戶之間切換，如果超級(jí)權(quán)限用戶 root 向普通或虛擬用戶切換不需要密碼，什么是權(quán)力？這就是！而普通用戶切換到其它任何用戶都需要密碼驗(yàn)證。 所以 su 工具在多人參與的系統(tǒng)管理中，并不是最好的選擇， su只適用于一兩個(gè)人參與管理的系統(tǒng)，畢竟 su 并不能讓普通用戶受限的使用。 /etc/sudoers 文件中每行算一個(gè)規(guī)則，前面帶有 號(hào)可以當(dāng)作是說(shuō)明的內(nèi)容，并不執(zhí)行；如果規(guī)則很長(zhǎng)，一行列不下時(shí)，可以用 \號(hào)來(lái)續(xù)行，這樣看來(lái)一個(gè)規(guī)則也可以擁有多個(gè)行。 其中 Runas_Alias 和 User_Alias 有點(diǎn)相似，但與 User_Alias 絕對(duì)不是同一個(gè)概念，Runas_Alias 定義的是某個(gè)系統(tǒng)用戶可以 sudo 切換身份到 Runas_Alias 下的成員；我們 在授權(quán)規(guī)則中以實(shí)例進(jìn)行解說(shuō)。 Runas_Alias OP = root, operator Runas_Alias DBADM=mysql:OP = root, operator 注：這行是上面兩行的等價(jià)行；至于怎么理解 Runas_Alias ，我們必須得通過(guò)授權(quán)規(guī)則的實(shí)例來(lái)理解。 實(shí)例三： beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod 如果換成這個(gè)例子呢？表示的是 beinan 可以在任何可能出現(xiàn)的主機(jī)名的主機(jī)中，可以切換到 root 下執(zhí)行 /bin/chown ，不需要輸入 beinan 用戶的密碼；并且可以切換到任何用戶下執(zhí)行 /bin/chmod 命令，但執(zhí)行 chmod時(shí)需要 beinan 輸入自己的密碼 ；通過(guò) sudo l 來(lái)查看beinan 在這臺(tái)主機(jī)上允許和禁止運(yùn)行的命令。 實(shí)例五：練習(xí)用戶組在 /etc/sudoers中寫(xiě)法 如果用戶組出現(xiàn)在 /etc/sudoers 中，前面要加 %號(hào) ，比如 %beinan ，中間不能有空格 %beinan ALL=/usr/sbin/*,/sbin/* 如果我們?cè)? /etc/sudoers 中加上如上一行，表示 beinan 用戶組下的所有成員，在所有可能的出現(xiàn)的主機(jī)名下，都能切換到 root 用戶下運(yùn)行 /usr/sbin 和 /sbin 目錄下的所有命令。更為明確遙說(shuō)， beinan、 linuxsir 和 beinan用戶組下的成員能以 root 身份運(yùn)行 chown 、 chmod 、 adduser、 passwd，但不能更改 root的密碼；也可以以 root 身份運(yùn)行 parted 和 fdisk ，本條規(guī)則的等價(jià)規(guī)則是 beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [AZaz]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk 第七行：表示授權(quán) DISKADER 下的所有成員，能以 OP 的身份，來(lái)運(yùn)行 DSKCMD ，不需要密碼；更為明確的說(shuō) lanhaitun 能以 root身份運(yùn)行 parted 和 fdisk 命令；其等價(jià)規(guī)則是： lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk 可能有的弟兄會(huì)說(shuō)我想不輸入用戶的密碼就 能切換到 root 并運(yùn)行 SYDCMD 和DSKCMD 下的命令，那應(yīng)該把把 NOPASSWD:加在哪里為好？理解下面的例子吧，能明白的 SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD /etc/sudoers 中其它的未盡事