【正文】 beinan is not allowed to execute 39。 soduers 配置文件要多簡(jiǎn)單就有多簡(jiǎn)單， 要多難 就有多難，就看自己的應(yīng)用了。 有可能有的弟兄對(duì)系統(tǒng)管理的命令不太懂，不知道其用法，這樣就影響了他對(duì) sudoers定義的理解，下面我們?cè)倥e一個(gè)最簡(jiǎn)單，最有說(shuō)服務(wù)力的例子。那什么才算是通過(guò)主機(jī)名相互通信或訪問(wèn)呢？比如 ping 主機(jī)名，或通過(guò)遠(yuǎn)程訪問(wèn)主機(jī)名來(lái)訪 問(wèn)。 四、 sudo 授權(quán)許可使用的 su，也是受限制的 su sudo 的適用 條件 由于 su 對(duì)切換到超級(jí)權(quán)限用戶 root 后，權(quán)限的無(wú)限制性，所以 su并不能擔(dān)任多個(gè)管理員所管理的系統(tǒng)。 當(dāng)我們以普通權(quán)限的用戶登錄系統(tǒng)時(shí)，有些系統(tǒng)配置及系統(tǒng)管理必須通過(guò)超級(jí)權(quán)限用戶完成，比如對(duì)系統(tǒng)日志的管理，添加和刪除用戶。 一、對(duì)超級(jí)用戶和普通用戶的理解 什么是超級(jí)用戶 在所有 Linux系統(tǒng)中，系統(tǒng)都是通過(guò) UID 來(lái)區(qū)分用戶權(quán)限級(jí)別的，而 UID 為 0 的用戶被系統(tǒng)約定為是具有超級(jí)權(quán)限。 UID 和用戶的一對(duì)一的對(duì)應(yīng)關(guān)系 ，只是要求管理員進(jìn)行系統(tǒng)管理時(shí)，所要堅(jiān)守的準(zhǔn)則，因?yàn)橄到y(tǒng)安全還是第一位的。 su 的用法 su [OPTION 選項(xiàng)參數(shù) ] [用戶 ] , l, login 登錄并 改變到所切換的用戶環(huán)境； c, mmand=COMMAND 執(zhí)行一個(gè)命令，然后退出所切換到的用戶環(huán)境； 至于更詳細(xì)的，請(qǐng)參看 man su ； su 的范例 su 在不加任何參數(shù)，默認(rèn)為切換到 root用戶，但沒(méi)有轉(zhuǎn)到 root 用戶家目錄下，也就是說(shuō)這時(shí)雖然是切換為 root 用戶了，但并沒(méi)有改變 root 登錄環(huán)境；用戶默認(rèn)的登錄環(huán)境，可以在 /etc/passwd 中查得到，包括家目錄， SHELL 定義等。 /etc/sudoers 的規(guī)則可分為兩類；一類是別名定義，另一類是授權(quán)規(guī)則；別名定義并不是必須的，但授權(quán)規(guī)則是必須的。 /etc/sudoers 中的授權(quán)規(guī)則： 授權(quán)規(guī)則是分配權(quán)限的執(zhí)行規(guī) 則，我們前面所講到的定義別名主要是為了更方便的授權(quán)引用別名；如果系統(tǒng)中只有幾個(gè)用戶，其實(shí)下放權(quán)限比較有限的話，可以不用定義別名，而是針對(duì)系統(tǒng)用戶直接直接授權(quán)，所以在授權(quán)規(guī)則中別名并不是必須的。 實(shí)例六：練習(xí)取消某類程序的執(zhí)行 取消程序某類程序的執(zhí)行，要在命令動(dòng)作前面加上 !號(hào)； 在本例中也出現(xiàn)了通配符的 *的用法。下面我們來(lái)測(cè)試： 對(duì)于一個(gè)普通用戶來(lái)說(shuō)，除了更改自身的口令以外，他不能更改其它用戶的口令。 beinan ALL=/bin/more 表示 beinan 可以切換到 root 下執(zhí)行 more 來(lái)查看文件。如果您把主機(jī)方面的知識(shí)弄的更明白，的確需要多多學(xué)習(xí)。 通過(guò) sudo，我們能把某些超級(jí)權(quán)限有針對(duì)性的下放，并且不需要普通用戶知道 root 密碼，所以 sudo 相對(duì)于權(quán)限無(wú)限制性的 su來(lái)說(shuō)，還是比較安全的，所以 sudo 也能被稱為受限制的 su ；另外 sudo 是需要授權(quán)許可的，所以也被稱為授權(quán)許可的 su。 三、使用 su 命令臨時(shí)切換用戶身份 su 的適用條件和威力 su命令就是切換用戶的工具，怎么理解呢？比如我們以普通用戶 beinan 登錄的，但要添加用戶任務(wù)，執(zhí)行 useradd ， beinan 用戶沒(méi)有這個(gè)權(quán)限，而這個(gè)權(quán)限恰恰由 root所擁有。我們知道用戶身份是通過(guò) UID 來(lái)確認(rèn)的，我們?cè)? 《用戶（ user）和用戶組（ group）配置文件詳解》中的 UID 的解說(shuō)中有談到 “UID 是確認(rèn)用戶權(quán)限的標(biāo)識(shí)，用戶登錄系統(tǒng)所處的角色是通過(guò) UID 來(lái)實(shí)現(xiàn)的，而非用戶名；把幾個(gè)用戶共用一個(gè) UID 是危險(xiǎn)的，比如我們把普通用戶的 UID 改為 0，和 root共用一個(gè) UID ，這事實(shí)上就造成了系統(tǒng)管理權(quán)限的混亂。如果我 們想用 root 權(quán)限，可以通過(guò) su 或 sudo 來(lái)實(shí)現(xiàn)；切不可隨意讓一個(gè)用戶和 root分享同一個(gè) UID ； ” 在系統(tǒng)中，能不能讓 UID 和用戶是一對(duì)多的關(guān)系？是可以的，比如我們可以把一個(gè) UID為 0 這個(gè)值分配給幾個(gè)用戶共同使用，這就是 UID 和用戶的一對(duì)多的關(guān)系。解決辦法無(wú)法有兩個(gè)， 一是退出 beinan 用戶，重新以 root 用戶登錄，但這種辦法 并不是最好的；二是我們沒(méi)有必要退出 beinan 用戶，可以用 su 來(lái)切換到 root 下進(jìn)行添加用戶的工作，等任務(wù)完成后再退出 root。 sudo 執(zhí)行命令的流程是當(dāng)前用戶切換到 root（或其它指定切換到的用戶），然后以 root（或其它指定的切換到的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用戶；而這些的前提是要通過(guò) sudo 的配置文件 /etc/sudoers 來(lái)進(jìn)行授權(quán)。 User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注：定義用戶別名，下有四個(gè)成員；要在系統(tǒng)中確實(shí)在存在的； User_Alias NETAD=beinan,bnnb 注：定義用戶別名 NETAD ，我想讓這個(gè)別名下的用戶來(lái)管理網(wǎng)絡(luò)，所以取了 NETAD 的別名； User_Alias WEBMASTER=linuxsir 注：定義用戶別名 WEBMASTER，我想用這個(gè)別名下的用戶來(lái)管理網(wǎng)站； User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir 注：上面三行的別名定義，可以通過(guò)這一行來(lái)實(shí)現(xiàn)，請(qǐng)看前面的說(shuō)明，是不是符合？ Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [AZaz]*,/bin/chown,/bin/chmod 注意：命令別名下的成員 必須是文件或目錄的絕對(duì)路徑； Cmnd_Alias DISKMAG=/sbin/fdisk,/sbin/parted Cmnd_Alias NETMAG=/sbin/ifconfig,/etc/ Cmnd_Alias KILL = /usr/bin/kill Cmnd_Alias PWMAG = /usr/sbin/reboot,/usr/sbin/halt Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ /usr/local/bin/tcsh, /usr/bin/rsh, \ /usr/local/bin/zsh 注：這行定義命令別名有點(diǎn)長(zhǎng)，可以通過(guò) \ 號(hào)斷行； Cmnd_Alias SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin 在上面的例子中，有 KILL 和 PWMAG 的命令別名定義，我們可以合并為一行來(lái)寫，也就是等價(jià)行。 退回到 beinan 用戶下，用 exit 命令 [rootlocalhost beinan] exit exit [beinanlocalhost ~]$ 查看 beinan 的通過(guò) sudo 能執(zhí)行哪些命令？ [beinanlocalhost ~]$ sudo l Password: 注：在這里輸入 beinan 用戶的密碼 User beinan may run the following mands on this host: 注：在這里清晰的說(shuō)明在本臺(tái)主機(jī)上， beinan 用戶可以以 root 權(quán)