歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

sudoers文件解析

今天在用戶組中新加了一個普 通用戶,開始這個用戶沒有sudo權限,於是通過sudo visudo修改了sudo的配置文件,賦予了普通用戶的root權限。後來想著能不能將/etc/sudoers文件的訪問權限改為777,然後直接在 編輯這個文件。於是想也沒想就這麼干了。結果改完之後發現自己給自己挖了一個坑,把自己擋在了sudo的門外。       /etc/sudoers是sudo的配置文件,它的屬性必需為440。當我用sudo chmod 777 /etc/sudoers修改了sudoers文件的訪問權限後,sudo就不能再用了。再想通過sudo chmod 440 /etc/sudoers修改文件sudoers的訪問權限,或著使用sudo 時結果提示:sudo: /etc/sudoers is mode 0777, should be 0440。這樣就自己把自己關在了sudo的門外。這樣想通過sudo su或sudo -i切到root用戶已經不可能了。這時用su root還可以切換到root。這樣就可以修改/etc/sudoers文件的訪問權限。問題也就解決了。   後來在網上找到一篇關於sudoers文件的解析,這裡就貼在下邊。   Sudo是允許系統管理員讓普通用戶執行一些或者全部的root命令的一個工具,如halt,reboot,su等等。這樣不僅減少了root用戶的登陸 和管理時間,同樣也提高了安全性。Sudo不是對shell的一個代替,它是面向每個命令的。它的特性主要有這樣幾點:  § Sudo能夠限制用戶只在某台主機上運行某些命令。  § Sudo提供了豐富的日志,詳細地記錄了每個用戶干了什麼。它能夠將日志傳到中心主機或者日志服務器。  § Sudo使用時間戳文件來執行類似的“檢票”系統。當用戶調用sudo並且輸入它的密碼時,用戶獲得了一張存活期為5分鐘的票(這個值可以在編譯的時候改變)。  § Sudo的配置文件是sudoers文件,它允許系統管理員集中的管理用戶的使用權限和使用的主機。它所存放的位置默認是在/etc/sudoers,屬性必須為0411。  編輯配置文件命令:visudo 默認配置文件位置:/etc/sudoers [root@localhost ~]# cat /etc/sudoers # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification # User alias specification   # Cmnd alias specification   # Defaults specification   # Runas alias specification   # User privilege specification root ALL=(ALL) ALL   # Uncomment to allow people in group wheel to run all commands # %wheel ALL=(ALL) ALL   # Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL   # Samples # %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom # %users localhost=/sbin/shutdown -h now [root@localhost ~]#   可以用visudo編輯sudoers配置文件,不過也可以直接通過修改sudoers文件實現,不過編輯之前最好看一下它的sample.sudoers文件,裡面有一個相當詳細的例子可以參考。  #第一部分:用戶定義,將用戶分為FULLTIMERS、PARTTIMERS和WEBMASTERS三類。  User_Alias FULLTIMERS = millert, mikef, dowdy  User_Alias PARTTIMERS = bostley, jwfox, crawl  User_Alias WEBMASTERS = will, wendy, wim  #第二部分,將操作類型分類。  Runas_Alias OP = root, operator  Runas_Alias DB = oracle, sybase  #第三部分,將主機分類。這些都是隨便分得,目的是為了更好地管理。  Host_Alias SPARC = bigtime, eclipse, moet, anchor :\  SGI = grolsch, dandelion, black :\  ALPHA = widget, thalamus, foobar :\  HPPA = boa, nag, python  Host_Alias CUNETS = 128.138.0.0/255.255.0.0  Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0  Host_Alias SERVERS = master, mail, www, ns  Host_Alias CDROM = orion, perseus, hercules  #第四部分,定義命令和命令地路徑。命令一定要使用絕對路徑,避免其他目錄的同名命令被執行,造成安全隱患 ,因此使用的時候也是使用絕對路徑! Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\  /usr/sbin/restore, /usr/sbin/rrestore  Cmnd_Alias KILL = /usr/bin/kill  Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm  Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown  Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt  Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot  Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \  /usr/local/bin/tcsh, /usr/bin/rsh, \  /usr/local/bin/zsh  Cmnd_Alias SU = /usr/bin/su  # 這裡是針對不同的用戶采用不同地策略,比如默認所有的syslog直接通過auth 輸出。FULLTIMERS組不用看到lecture(第一次運行時產生的消息);用戶millert使用sudo時不用輸入密碼;以及logfile的 路徑在/var/log/sudo.log而且每一行日志中必須包括年。  Defaults syslog=auth  Defaults:FULLTIMERS !lecture  Defaults:millert !authenticate  Defaults@SERVERS log_year, logfile=/var/log/sudo.log  #root和wheel組的成員擁有任何權利。 如果想對一組用戶進行定義,可以在組名前加上%,對其進行設置. root ALL = (ALL) ALL  %wheel ALL = (ALL) ALL  #FULLTIMERS可以運行任何命令在任何主機而不用輸入自己的密碼  FULLTIMERS ALL = NOPASSWD: ALL  #PARTTIMERS可以運行任何命令在任何主機,但是必須先驗證自己的密碼。  PARTTIMERS ALL = ALL  #jack可以運行任何命令在定義地CSNET(128.138.243.0, 128.138.242.0和128.138.204.0/24的子網)中,不過注意前兩個不需要匹配子網掩碼,而後一個必須匹配掩碼。  jack CSNETS = ALL  #lisa可以運行任何命令在定義為CUNETS(128.138.0.0)的子網中主機上。  lisa CUNETS = ALL  #用戶operator可以運行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有命令。  operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\  /usr/oper/bin/  #joe可以運行su operator命令  joe ALL = /usr/bin/su operator  #pete可以為除root之外地用戶修改密碼。  pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root  #bob可以在SPARC和SGI機器上和OP用戶組中的root和operator一樣運行如何命令。  bob SPARC = (OP) ALL : SGI = (OP) ALL  #jim可以運行任何命令在biglab網絡組中。Sudo默認“+”是一個網絡組地前綴。  jim +biglab = ALL  #在secretaries中地用戶幫助管理打印機,並且可以運行adduser和rmuser命令。  +secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser  #fred能夠直接運行oracle或者sybase數據庫。  fred ALL = (DB) NOPASSWD: ALL  #john可以在ALPHA機器上,su除了root之外地所有人。  john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*  #jen可以在除了SERVERS主機組的機器上運行任何命令。  jen ALL, !SERVERS = ALL  #jill可以在SERVERS上運行/usr/bin/中的除了su和shell命令之外的所有命令。  jill SERVERS = /usr/bin/, !SU, !SHELLS  #steve可以作為普通用戶運行在CSNETS主機上的/usr/local/op_commands/內的任何命令。  steve CSNETS = (operator) /usr/local/op_commands/  #matt可以在他的個人工作站上運行kill命令。  matt valkyrie = KILL  #WEBMASTERS用戶組中的用戶可以以www的用戶名運行任何命令或者可以su www。  WEBMASTERS www = (www) ALL, (root) /usr/bin/su www  #任何用戶可以mount或者umount一個cd-rom在CDROM主機上,而不用輸入密碼。  ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\  /sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM   三,使用 指令名稱:sudo 使用權限:在 /etc/sudoers 中有出現的使用者  使用方式:sudo -V  sudo -h  sudo -l  sudo -v  sudo -k  sudo -s  sudo -H  sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s  用法:sudo command  說明:以系統管理者的身份執行指令,也就是說,經由 sudo 所執行的指令就好像是 root 親自執行  參數:  -V 顯示版本編號  -h 會顯示版本編號及指令的使用方式說明  -l 顯示出自己(執行 sudo 的使用者)的權限  -v 因為 sudo 在第一次執行時或是在 N 分鐘內沒有執行(N 預設為五)會問密碼,這個參數是重新做一次確認,如果超過 N 分鐘,也會問密碼  -k 將會強迫使用者在下一次執行 sudo 時問密碼(不論有沒有超過 N 分鐘)  -b 將要執行的指令放在背景執行  -p prompt 可以更改問密碼的提示語,其中 %u 會代換為使用者的帳號名稱, %h 會顯示主機名稱  -u username/#uid 不加此參數,代表要以 root 的身份執行指令,而加了此參數,可以以 username 的身份執行指令(#uid 為該 username 的使用者號碼)  -s 執行環境變數中的 SHELL 所指定的 shell ,或是 /etc/passwd 裡所指定的 shell  -H 將環境變數中的 HOME (家目錄)指定為要變更身份的使用者家目錄(如不加 -u 參數就是系統管理者 root )  command 要以系統管理者身份(或以 -u 更改為其他人)執行的指令  范例:  sudo -l 列出目前的權限  sudo -V 列出 sudo 的版本資訊 指令名稱:sudoers(在fc5下顯示不能找到此命令,但用man可以查到其用法。) 用來顯示可以使用sudo的用戶
Copyright © Linux教程網 All Rights Reserved