【文章內(nèi)容簡介】 相配。我們用 Host_Alias 定義主機別名時，成員必須是與主機相關相關聯(lián)，比如是主機名（包括遠程 登錄的主機名）、 ip 地址（單個 或整段）、掩碼等；當用戶登錄時，可以通過 w 命令來查看登錄用戶主機信息；用 User_Alias 和 Runas_Alias 定義時，必須要用系統(tǒng)用戶做為成員；用 Cmnd_Alias 定義執(zhí)行命令的別名時，必須是系統(tǒng)存在的文件，文件名可以用通配符表示，配置 Cmnd_Alias 時命令需要絕對路徑。 其中 Runas_Alias 和 User_Alias 有點相似，但與 User_Alias 絕對不是同一個概念，Runas_Alias 定義的是某個系統(tǒng)用戶可以 sudo 切換身份到 Runas_Alias 下的成員；我們 在授權規(guī)則中以實例進行解說。 別名規(guī)則是每行算一個規(guī)則，如果一個別名規(guī)則一行容不下時，可以通過 \來續(xù)行；同一類型別名的定義，一次也可以定義幾個別名，他們中間用 :號分隔， Host_Alias HT01=localhost,st05,st04,10,0,0,4,：定義主機別名 HT01，通過 =號列出成員 Host_Alias HT02=st09,st10 注：主機別名 HT02，有兩個成員； Host_Alias HT01=localhost,st05,st04,10,0,0,4,:HT02=st09,st10 注：上面的兩條對主機的定義，可以通過一條來實現(xiàn)，別名之間用 :號分割； 注：我們通過 Host_Alias 定義主機別名時，項目可以是主機名、可以是單個 ip（整段ip 地址也可以），也可以是網(wǎng)絡掩碼；如果是主機名，必須是多臺機器的網(wǎng)絡中，而且這些機器得能 通過主機名相互通信訪問才有效。那什么才算是通過主機名相互通信或訪問呢？比如 ping 主機名，或通過遠程訪問主機名來訪 問。在我們局域網(wǎng)中，如果讓計算機通過主機名訪問通信，必須設置 /etc/hosts， /etc / ，還要有 DNS 做解析，否則相互之間無法通過主機名訪問；在設置主機別名時，如果項目是中某個項目是主機名的話，可以通過hostname 命令來查看本地主機的主機名，通過 w 命令查來看登錄主機是來源，通過來源來確認其它客戶機的主機名或 ip 地址；對于主機別名的定義，看上去有點復雜，其實 是很簡單。 如果您不明白 Host_Alias 是怎么回事，也可以不用設置主機別名，在定義授權規(guī)則時通過 ALL 來 匹配所有可能出現(xiàn)的主機情況。如果您把主機方面的知識弄的更明白，的確需要多多學習。 User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注：定義用戶別名，下有四個成員；要在系統(tǒng)中確實在存在的； User_Alias NETAD=beinan,bnnb 注：定義用戶別名 NETAD ，我想讓這個別名下的用戶來管理網(wǎng)絡，所以取了 NETAD 的別名； User_Alias WEBMASTER=linuxsir 注：定義用戶別名 WEBMASTER，我想用這個別名下的用戶來管理網(wǎng)站； User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir 注：上面三行的別名定義，可以通過這一行來實現(xiàn)，請看前面的說明，是不是符合？ Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [AZaz]*,/bin/chown,/bin/chmod 注意：命令別名下的成員 必須是文件或目錄的絕對路徑； Cmnd_Alias DISKMAG=/sbin/fdisk,/sbin/parted Cmnd_Alias NETMAG=/sbin/ifconfig,/etc/ Cmnd_Alias KILL = /usr/bin/kill Cmnd_Alias PWMAG = /usr/sbin/reboot,/usr/sbin/halt Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ /usr/local/bin/tcsh, /usr/bin/rsh, \ /usr/local/bin/zsh 注：這行定義命令別名有點長，可以通過 \ 號斷行； Cmnd_Alias SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin 在上面的例子中，有 KILL 和 PWMAG 的命令別名定義，我們可以合并為一行來寫，也就是等價行。 Cmnd_Alias KILL = /usr/bin/kill:PWMAG = /usr/sbin/reboot,/usr/sbin/halt 注：這一行就代表了 KILL 和 PWMAG 命令別名，把 KILL 和 PWMAG 的別名定義合并在一行寫也是可以的。 Runas_Alias OP = root, operator Runas_Alias DBADM=mysql:OP = root, operator 注：這行是上面兩行的等價行；至于怎么理解 Runas_Alias ，我們必須得通過授權規(guī)則的實例來理解。 /etc/sudoers 中的授權規(guī)則： 授權規(guī)則是分配權限的執(zhí)行規(guī) 則，我們前面所講到的定義別名主要是為了更方便的授權引用別名；如果系統(tǒng)中只有幾個用戶，其實下放權限比較有限的話，可以不用定義別名，而是針對系統(tǒng)用戶直接直接授權，所以在授權規(guī)則中別名并不是必須的。 授權規(guī)則并不是無章可尋，我們只說基礎一點的，比較簡單的寫法，如果您想詳細了解授權規(guī)則寫法的，請參看 man sudoers 授權用戶 主機 =命令動作 這三個要素缺一不可，但在動作之前也可以指定切換到特定用戶下，在這里指定切換的用戶要用 ( )號括起來，如果不需要密碼直接運行命令的，應該加 NOPASSWD:參數(shù)，但這些可以省略；舉例說明。 實例一： beinan ALL=/bin/chown,/bin/chmod 如果我們在 /etc/sudoers 中添加這一行，表示 beinan 可以在任何可能出現(xiàn)的主機名的系統(tǒng)中，可以切換到 root 用戶下執(zhí)行 /bin/chown 和 /bin/chmod 命令，通過 sudo l 來查看beinan 在這臺主機上允許和禁止運行的命令。 值得注意的是，在這里省略了指定切換到哪個用戶下執(zhí)行 /bin/shown 和 /bin/chmod 命令；在省略的情況 下默認為是切換到 root 用戶下執(zhí)行；同時也省略了是不是需要 beinan 用戶輸入驗證密碼，如果省略了，默認為是需要驗證密碼。 為了更詳細的說明這些，我們可以構造一個更復雜一點的公式。 授權用戶 主機 =[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] 命令 1,[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] [命令 2],[(切換到哪些用戶或用戶組 )] [是否需要密碼驗證 ] [命令 3]...... 注解： 凡是 [ ]中的內(nèi)容，是可以省略；命令與命令之間用 ,號分隔；通過本文的例子，可 以對照著看哪些是省略了，哪些地方需要有空格。 在 [(切換到哪些用戶或用戶組 )] ，如果省略，則默認為 root 用戶；如果是 ALL ，則代表能切換到所有用戶；注意要切換到的目的用戶必須用 ()號括起來，比如 (ALL)、 (beinan) 實例二： beinan ALL=(root) /bin/chown, /bin/chmod