歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux服務器

學習Linux從sudo命令開始

 sudo是允許系統管理員讓普通用戶執行一些或者全部的root命令的一個工具,如halt,reboot,su等等。這樣不僅減少了root用戶的登陸和管理時間,同樣也提高了安全性。Sudo不是對shell的一個代替,它是面向每個命令的。它的特性主要有這樣幾點:

    § Sudo能夠限制用戶只在某台主機上運行某些命令。

    § Sudo提供了豐富的日志,詳細地記錄了每個用戶干了什麼。它能夠將日志傳到中心主機或者日志服務器。

    § Sudo使用時間戳文件來執行類似的“檢票”系統。當用戶調用sudo並且輸入它的密碼時,用戶獲得了一張存活期為5分鐘的票(這個值可以在編譯的時候改變)。

    § Sudo的配置文件是sudoers文件,它允許系統管理員集中的管理用戶的使用權限和使用的主機。它所存放的位置默認是在/etc/sudoers,屬性必須為0411。

    一,安裝

    檢測是否一經安裝了SUDO:

    [root@localhost ~]# rpm -q sudo

    sudo-1.6.8p12-4.1

    如果沒有安裝,下載軟件包進行安裝:

    對於大多數系統來說,sudo的配置都是相對比較簡單的:

    0) {GetProperty(Content)}gt; cd /;cp sudo-1.6.8p12.tar.gz /

    1) {GetProperty(Content)}gt; tar vxzf sudo-1.6.8p12.tar.gz

    2) 如果是從低版本升級的話,升級之前請仔細閱讀UPGRADE文件。

    3) 如果你在編譯之前,已經為另外一台不同的主機運行了’configure’,你必須用make distclean清除’config.cache’文件。否則,’configure’將不能再運行。你也可以直接’rm config.cache’.

    4) 閱讀’OS dependent notes’看是否支持你的系統。

    5) {GetProperty(Content)}gt; cd sudo-8p12

    6) 閱讀configure文件,仔細看其中的’Available configure options’部分,看是否要加一些特殊的選項。這裡選項很多,不過常用的主要有這麼幾個主要的配置參數:

    --with-pam 支持使用PAM,使用該選項時要求一個有效的/etc/pam.d/sudo文件

    --cache-file=FILE 將緩存test的結果存到FILE文件中。

    --help 打印幫助。

    --no-create 不要輸出.o文件

    --quiet, --silent 不打印’checking…’信息

    --exec-prefix=EPREFIX 設置包含sudo 和visudo命令的目錄

    --bindir=DIR 將sudo命令安裝到EPREFIX/bin

    --sbindir=DIR將visudo命令安裝到EPREFIX/bin

    --sysconfdir=DIR 將sudoers配置文件安裝到DIR,默認為/etc.

    --mandir=DIR將man文件安裝到DIR,默認為/man.

    --with-CC=path 指定你要使用的c編譯器的路徑。

    --with-skey 支持S/Key OTP(一次使用密碼)

    --with-opie支持NRL OPIE OTP(一次使用密碼)

    --disable-shadow 不支持shadow密碼的系統的選項開關,sudo默認是編譯並使用shadow密碼的。

    --with-sudoers-mode=mode sudoers配置文件模式,默認為0440。

    --with-sudoers-uid sudoers配置文件的所有者id,默認為0

    --with-sudoers-gid sudoers配置文件的所有者的組id,默認為0

    --without-passwd 用戶認證無須密碼。

    --with-logging=TYPE 日志類型,可以選擇’syslog’、’file’或者兩種都可以。

    --with-logpath=path 日志存放的路徑和文件名,默認為/var/log/sudo.log

    --with-umask 在運行root命令是用umask,默認的umask是0022

    --with-passwd-tries=tries sudo寫入log日志前提示輸入密碼的次數,默認為3次。

    --with-timeout=minutes sudo提示輸入密碼之前的時間,默認為5分鐘

    --with-password-timeout=minutes 密碼的有效期,默認為5分鐘,0表示密碼永遠有效。

    --without-lecture 第一次運行sudo不打印lecture信息

    --disable-root-sudo root用戶不能運行sudo。

    --enable-log-host 記錄主機host到日志文件

    --disable-path-info 出錯時,不顯示sudo的路徑。

    如 輸入:./configure --with-timeout=10 --without-lecture --disable-root-sudo --disable-path-info --sysconfdir=/home/config/ --bindir=/bin --sbindir=/sbin

    7) make

    8) make install

    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    二,配置,

    編輯配置文件命令:visudo

    默認配置文件位置:/etc/sudoers

    [root@localhost ~]# cat /etc/sudoers

    # sudoers file.

    #

    # This file MUST be edited with the 'visudo' command as root.

    #

    # See the sudoers man page for the details on how to write a sudoers file.

    #

    # Host alias specification

    # User alias specification

    # Cmnd alias specification

    # Defaults specification

    # Runas alias specification

    # User privilege specification

    root ALL=(ALL) ALL

    # Uncomment to allow people in group wheel to run all commands

    # %wheel        ALL=(ALL) ALL

    # Same thing without a password

    # %wheel        ALL=(ALL) NOPASSWD: ALL

    # Samples

    # %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom

    # %users localhost=/sbin/shutdown -h now

    [root@localhost ~]#

可以用visudo編輯sudoers配置文件,不過也可以直接通過修改sudoers文件實現,不過編輯之前最好看一下它的sample.sudoers文件,裡面有一個相當詳細的例子可以參考。

    #第一部分:用戶定義,將用戶分為FULLTIMERS、PARTTIMERS和WEBMASTERS三類。

    User_Alias FULLTIMERS = millert, mikef, dowdy

    User_Alias PARTTIMERS = bostley, jwfox, crawl

    User_Alias WEBMASTERS = will, wendy, wim

    #第二部分,將操作類型分類。

    Runas_Alias OP = root, operator

    Runas_Alias DB = oracle, sybase

    #第三部分,將主機分類。這些都是隨便分得,目的是為了更好地管理。

    Host_Alias SPARC = bigtime, eclipse, moet, anchor :\

    SGI = grolsch, dandelion, black :\

    ALPHA = widget, thalamus, foobar :\

    HPPA = boa, nag, python

    Host_Alias CUNETS = 128.138.0.0/255.255.0.0

    Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0

    Host_Alias SERVERS = master, mail, www, ns

    Host_Alias CDROM = orion, perseus, hercules

    #第四部分,定義命令和命令地路徑。命令一定要使用絕對路徑,避免其他目錄的同名命令被執行,造成安全隱患 ,因此使用的時候也是使用絕對路徑!

    Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\

    /usr/sbin/restore, /usr/sbin/rrestore

    Cmnd_Alias KILL = /usr/bin/kill

    Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm

    Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown

    Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt

    Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot

    Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \

    /usr/local/bin/tcsh, /usr/bin/rsh, \

    /usr/local/bin/zsh

    Cmnd_Alias SU = /usr/bin/su

    #這裡是針對不同的用戶采用不同地策略,比如默認所有的syslog直接通過auth 輸出。FULLTIMERS組不用看到lecture(第一次運行時產生的消息);用戶millert使用sudo時不用輸入密碼;以及logfile的路徑在/var/log/sudo.log而且每一行日志中必須包括年。

    Defaults syslog=auth

    Defaults:FULLTIMERS !lecture

    Defaults:millert !authenticate

    Defaults@SERVERS log_year, logfile=/var/log/sudo.log

    #root和wheel組的成員擁有任何權利。 如果想對一組用戶進行定義,可以在組名前加上%,對其進行設置.

    root ALL = (ALL) ALL

    %wheel ALL = (ALL) ALL

    #FULLTIMERS可以運行任何命令在任何主機而不用輸入自己的密碼

    FULLTIMERS ALL = NOPASSWD: ALL

    #PARTTIMERS可以運行任何命令在任何主機,但是必須先驗證自己的密碼。

    PARTTIMERS ALL = ALL

    #jack可以運行任何命令在定義地CSNET(128.138.243.0, 128.138.242.0和128.138.204.0/24的子網)中,不過注意前兩個不需要匹配子網掩碼,而後一個必須匹配掩碼。

    jack CSNETS = ALL

    #lisa可以運行任何命令在定義為CUNETS(128.138.0.0)的子網中主機上。

    lisa CUNETS = ALL

    #用戶operator可以運行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有命令。

    operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\

    /usr/oper/bin/

    #joe可以運行su operator命令

    joe ALL = /usr/bin/su operator

    #pete可以為除root之外地用戶修改密碼。

    pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root

    #bob可以在SPARC和SGI機器上和OP用戶組中的root和operator一樣運行如何命令。

    bob SPARC = (OP) ALL : SGI = (OP) ALL

    #jim可以運行任何命令在biglab網絡組中。Sudo默認“+”是一個網絡組地前綴。

    jim +biglab = ALL

    #在secretaries中地用戶幫助管理打印機,並且可以運行adduser和rmuser命令。

    +secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser

    #fred能夠直接運行oracle或者sybase數據庫。

    fred ALL = (DB) NOPASSWD: ALL

    #john可以在ALPHA機器上,su除了root之外地所有人。

    john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*

    #jen可以在除了SERVERS主機組的機器上運行任何命令。

    jen ALL, !SERVERS = ALL

    #jill可以在SERVERS上運行/usr/bin/中的除了su和shell命令之外的所有命令。

    jill SERVERS = /usr/bin/, !SU, !SHELLS

    #steve可以作為普通用戶運行在CSNETS主機上的/usr/local/op_commands/內的任何命令。

    s

teve CSNETS = (operator) /usr/local/op_commands/

    #matt可以在他的個人工作站上運行kill命令。

    matt valkyrie = KILL

    #WEBMASTERS用戶組中的用戶可以以www的用戶名運行任何命令或者可以su www。

    WEBMASTERS www = (www) ALL, (root) /usr/bin/su www

    #任何用戶可以mount或者umount一個cd-rom在CDROM主機上,而不用輸入密碼。

    ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\

    /sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM

    三,使用

    指令名稱:sudo

    使用權限:在 /etc/sudoers 中有出現的使用者

    使用方式:sudo -V

    sudo -h

    sudo -l

    sudo -v

    sudo -k

    sudo -s

    sudo -H

    sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s

    用法:sudo command

    說明:以系統管理者的身份執行指令,也就是說,經由 sudo 所執行的指令就好像是 root 親自執行

    參數:

    -V 顯示版本編號

    -h 會顯示版本編號及指令的使用方式說明

    -l 顯示出自己(執行 sudo 的使用者)的權限

    -v 因為 sudo 在第一次執行時或是在 N 分鐘內沒有執行(N 預設為五)會問密碼,這個參數是重新做一次確認,如果超過 N 分鐘,也會問密碼

    -k 將會強迫使用者在下一次執行 sudo 時問密碼(不論有沒有超過 N 分鐘)

    -b 將要執行的指令放在背景執行

    -p prompt 可以更改問密碼的提示語,其中 %u 會代換為使用者的帳號名稱, %h 會顯示主機名稱

    -u username/#uid 不加此參數,代表要以 root 的身份執行指令,而加了此參數,可以以 username 的身份執行指令(#uid 為該 username 的使用者號碼)

    -s 執行環境變數中的 SHELL 所指定的 shell ,或是 /etc/passwd 裡所指定的 shell

    -H 將環境變數中的 HOME (家目錄)指定為要變更身份的使用者家目錄(如不加 -u 參數就是系統管理者 root )

    command 要以系統管理者身份(或以 -u 更改為其他人)執行的指令

    范例:

    sudo -l 列出目前的權限

    sudo -V 列出 sudo 的版本資訊

    指令名稱:sudoers(在fc5下顯示不能找到此命令,但用man可以查到其用法。)

    用來顯示可以使用sudo的用戶

Copyright © Linux教程網 All Rights Reserved