Linux 系统中的超级权限的控制

作者：北南南北
赞助： eTony，pandonny，懒猫， Arch
来自：LinuxSir.Org
摘要：超级用户是系统最高权限的拥有者，是系统管理唯一的胜任者；由于权限的超级并且达到无所不能的地步，如果管理不擅，必会对系统安全造成威胁。除了尽可能的避免用直接用超级用户root登录系统外，我们还要学会在普通用户下临时切换到超级用户root下完成必要的系统管理工作；从用户管理和系统安全角度来说是极有意义的；

本文对普通用户切换到root用户的实现命令 su 和sudo 做了实例解说；希望能为初学者学习带来方便；

目录索引

一、对超级用户和普通用户的理解；

1、什么是超级用户；
2、理解 UID 和用户的对应关系
3、普通用户和伪装用户

二. 超级用户（权限）在系统管理中的作用

1、对任何文件、目录或进程进行操作；
2、对于涉及系统全局的系统管理；
3、超级权限的不可替代性；

三、使用 su 命令临时切换用户身份；

1、su 的适用条件和威力；
2、su 的用法；
3、su 的范例；
4、su 的优缺点

四、sudo 授权许可使用的su，也是受限制的su

1. sudo 的适用条件；
2、从编写 sudo 配置文件/etc/sudoers开始；
3、/etc/sudoers 配置文件中别名规则
4、/etc/sudoers中的授权规则：
5、/etc/sudoers中其它的未尽事项；
6、sudo的用法；

五、后记；


六、关于本文；


七、致谢；


八、参考文档；


九、相关文档；

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
正文
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在Linux操作系统中，root的权限是最高的，也被称为超级权限的拥有者。普通用户无法执行的操作，root用户都能完成，所以也被称之为超级管理用户。

在系统中，每个文件、目录和进程，都归属于某一个用户，没有用户许可其它普通用户是无法操作的，但对root除外。root用户的特权性还表现在root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除（在系统正常的许可范围内）；对可执行程序的执行、终止；对硬件设备的添加、创建和移除等；也可以对文件和目录进行属主和权限进行修改，以适合系统管理的需要（因为root是系统中权限最高的特权用户）；

一、对超级用户和普通用户的理解；

1、什么是超级用户；

在所有Linux系统中，系统都是通过UID来区分用户权限级别的，而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作，所以说超级用户可以完成系统管理的所有工具；我们可以通过/etc/passwd来查得UID为0的用户是root，而且只有root对应的UID为0，从这一点来看，root用户在系统中是无可替代的至高地位和无限制权限。root用户在系统中就是超级用户；

2、理解 UID 和用户的对应关系

当系统默认安装时，系统用户和UID 是一对一的对关系，也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的，我们在 《用户（user）和用户组（group）配置文件详解》中的UID 的解说中有谈到“UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名；把几个用户共用一个UID是危险的，比如我们把普通用户的UID 改为0，和root共用一个UID，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID；”

在系统中，能不能让UID 和用户是一对多的关系？是可以的，比如我们可以把一个UID为0这个值分配给几个用户共同使用，这就是UID和用户的一对多的关系。但这样做的确有点危险；相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后，事实上这个普通用户就具有了超级权限，他的能力和权限和root用户一样；用户beinan所有的操作都将被标识为root的操作，因为beinan的UID为0,而UID为0的用户是root ，是不是有点扰口？也可以理解为UID为0的用户就是root ，root用户的UID就是0；

UID和用户的一对一的对应关系 ，只是要求管理员进行系统管理时，所要坚守的准则，因为系统安全还是第一位的。所以我们还是把超级权限保留给root这唯一的用户是最好的选择；

如果我们不把UID的0值的分享给其它用户使用，只有root用户是唯一拥有UID=0的话，root用户就是唯一的超级权限用户；

3、普通用户和伪装用户

与超级用户相对的就是普通用户和虚拟（也被称为伪装用户），普通和伪装用户都是受限用户；但为了完成特定的任务，普通用户和伪装用户也是必须的；Linux是一个多用户、多任务的操作系统，多用户主要体现在用户的角色的多样性，不同的用户所分配的权限也不同；这也是Linux系统比Windows系统更为安全的本质所在，即使是现在最新版本的Windows 2003 ，也无法抹去其单用户系统的烙印；

二. 超级用户（权限）在系统管理中的作用

超级权限用户（UID为0的用户）到底在系统管理中起什么作用呢？主要表现在以下两点；


1、对任何文件、目录或进程进行操作；

但值得注意的是这种操作是在系统最高许可范围内的操作；有些操作就是具有超级权限的root也无法完成；

比如/proc 目录，/proc 是用来反应系统运行的实时状态信息的，因此即便是root也无能为力；它的权限如下

[root@localhost ~]# pwd
/root
[root@localhost ~]# cd /
[root@localhost /]# ls -ld  /proc/
dr-xr-xr-x  134 root root 0 2005-10-27  /proc/

 

就是这个目录，只能是读和执行权限，但绝对没有写权限的；就是我们把/proc 目录的写权限打开给root，root用户也是不能进行写操作；

[root@localhost ~]# chmod 755 /proc
[root@localhost /]# ls -ld  /proc/
drwxr-xr-x  134 root root 0 2005-10-27  /proc/
[root@localhost /]# cd /proc/
[root@localhost proc]# mkdir testdir
mkdir: 无法创建目录‘testdir’: 没有那个文件或目录

2、对于涉及系统全局的系统管理；

硬件管理、文件系统理解、用户管理以及涉及到的系统全局配置等等......如果您执行某个命令或工具时，提示您无权限，大多是需要超级权限来完成；

比如用adduser来添加用户，这个只能用通过超级权限的用户来完成；

3、超级权限的不可替代性；

由于超级权限在系统管理中的不可缺少的重要作用，为了完成系统管理任务，我们必须用到超级权限；在一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成，root用户只是被用来管理和维护系统之用；比如系统日志的查看、清理，用户的添加和删除......

在不涉及系统管理的工作的环境下，普通用户足可以完成，比如编写一个文件，听听音乐；用gimp 处理一个图片等...... 基于普通应用程序的调用，大多普通用户就可以完成；

当我们以普通权限的用户登录系统时，有些系统配置及系统管理必须通过超级权限用户完成，比如对系统日志的管理，添加和删除用户。而如何才能不直接以root登录，却能从普通用户切换到root用户下才能进行操作系统管理需要的工作，这就涉及到超级权限管理的问题；

获取超级权限的过程，就是切换普通用户身份到超级用户身份的过程；这个过程主要是通过su和sudo 来解决；

三、使用 su 命令临时切换用户身份；

1、su 的适用条件和威力

su命令就是切换用户的工具，怎么理解呢？比如我们以普通用户beinan登录的，但要添加用户任务，执行useradd，beinan用户没有这个权限，而这个权限恰恰由root所拥有。解决办法无法有两个，一是退出beinan用户，重新以root用户登录，但这种办法并不是最好的；二是我们没有必要退出beinan用户，可以用su来切换到root下进行添加用户的工作，等任务完成后再退出root。我们可以看到当然通过su 切换是一种比较好的办法；

通过su可以在用户之间切换，如果超级权限用户root向普通或虚拟用户切换不需要密码，什么是权力？这就是！而普通用户切换到其它任何用户都需要密码验证；

2、su 的用法：

su [OPTION选项参数] [用户]

  -, -l, --login             登录并改变到所切换的用户环境；
  -c, --commmand=COMMAND       执行一个命令，然后退出所切换到的用户环境；

 

至于更详细的，请参看man su ；

3、su 的范例：

su 在不加任何参数，默认为切换到root用户，但没有转到root用户家目录下，也就是说这时虽然是切换为root用户了，但并没有改变root登录环境；用户默认的登录环境，可以在/etc/passwd 中查得到，包括家目录，SHELL定义等；

[beinan@localhost ~]$ su
Password:
[root@localhost beinan]# pwd
/home/beinan

 

su 加参数 - ，表示默认切换到root用户，并且改变到root用户的环境；

[beinan@localhost ~]$ pwd
/home/beinan
[beinan@localhost ~]$ su -
Password:
[root@localhost ~]# pwd
/root

 

su 参数 - 用户名

[beinan@localhost ~]$ su - root  注：这个和su  - 是一样的功能；
Password:
[root@localhost ~]# pwd
/root

[beinan@localhost ~]$ su - linuxsir  注：这是切换到 linuxsir用户
Password:   注：在这里输入密码；
[linuxsir@localhost ~]$ pwd  注：查看用户当前所处的位置；
/home/linuxsir
[linuxsir@localhost ~]$ id   注：查看用户的UID和GID信息，主要是看是否切换过来了；

uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
[linuxsir@localhost ~]$

[beinan@localhost ~]$ su - -c ls   注：这是su的参数组合，表示切换到root用户，并且改变到root环境，然后列出root家目录的文件，然后退出root用户；
Password:  注：在这里输入root的密码；
anaconda-ks.cfg  Desktop  install.log  install.log.syslog  testgroup  testgroupbeinan  testgrouproot

[beinan@localhost ~]$ pwd  注：查看当前用户所处的位置；
/home/beinan
[beinan@localhost ~]$ id  注：查看当前用户信息；
uid=500(beinan) gid=500(beinan) groups=500(beinan)

4、su的优缺点；

su 的确为管理带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他都能切换到root来完成所有的系统管理工作；

但通过su切换到root后，也有不安全因素；比如系统有10个用户，而且都参与管理。如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root权限密码都告诉这10个用户；如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协；想想Windows吧，简直就是恶梦；

“没有不安全的系统，只有不安全的人”，我们绝对不能保证这10个用户都能按正常操作流程来管理系统，其中任何一人对系统操作的重大失误，都可能导致系统崩溃或数据损失；

所以su 工具在多人参与的系统管理中，并不是最好的选择，su只适用于一两个人参与管理的系统，毕竟su并不能让普通用户受限的使用；

超级用户root密码应该掌握在少数用户手中，这绝对是真理！所以集权而治的存在还是有一定道理的；

四、sudo 授权许可使用的su，也是受限制的su

1. sudo 的适用条件；

由于su 对切换到超级权限用户root后，权限的无限制性，所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到 sudo。

通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo 相对于权限无限制性的su来说，还是比较安全的，所以sudo 也能被称为受限制的su ；另外sudo 是需要授权许可的，所以也被称为授权许可的su；

sudo 执行命令的流程是当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权；

2、从编写 sudo 配置文件/etc/sudoers开始；

sudo的配置文件是/etc/sudoers ，我们可以用他的专用编辑工具visodu ，此工具的好处是在添加规则不太准确时，保存退出时会提示给我们错误信息；配置好后，可以用切换到您授权的用户下，通过sudo -l 来查看哪些命令是可以执行或禁止的；

/etc/sudoers 文件中每行算一个规则，前面带有#号可以当作是说明的内容，并不执行；如果规则很长，一行列不下时，可以用/号来续行，这样看来一个规则也可以拥有多个行；

/etc/sudoers 的规则可分为两类；一类是别名定义，另一类是授权规则；别名定义并不是必须的，但授权规则是必须的；

3、/etc/sudoers 配置文件中别名规则

别名规则定义格式如下：

Alias_Type  NAME = item1, item2, ...

 

或

Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

别名类型（Alias_Type）：别名类型包括如下四种

Host_Alias 定义主机别名；
User_Alias 用户别名，别名成员可以是用户，用户组（前面要加%号）
Runas_Alias 用来定义runas别名，这个别名指定的是“目的用户”，即sudo 允许切换至的用户；
Cmnd_Alias 定义命令别名；

NAME 就是别名了，NMAE的命名是包含大写字母、下划线以及数字，但必须以一个大写字母开头，比如SYNADM、SYN_ADM或SYNAD0是合法的，sYNAMDA或1SYNAD是不合法的；

item 按中文翻译是项目，在这里我们可以译成成员，如果一个别名下有多个成员，成员与成员之间，通过半角,号分隔；成员在必须是有效并事实存在的。什么是有效的呢？比如主机名，可以通过w查看用户的主机名（或ip地址），如果您只是本地机操作，只通过hostname命令就能查看；用户名当然是在系统中存在的，在/etc/paswd中必须存在；对于定义命令别名，成员也必须在系统中事实存在的文件名（需要绝对路径）；

item成员受别名类型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias制约，定义什么类型的别名，就要有什么类型的成员相配。我们用Host_Alias定义主机别名时，成员必须是与主机相关相关联，比如是主机名（包括远程登录的主机名）、ip地址（单个或整段）、掩码等；当用户登录时，可以通过w命令来查看登录用户主机信息；用User_Alias和Runas_Alias定义时，必须要用系统用户做为成员；用Cmnd_Alias定义执行命令的别名时，必须是系统存在的文件，文件名可以用通配符表示，配置Cmnd_Alias时命令需要绝对路径；

其中 Runas_Alias 和User_Alias 有点相似，但与User_Alias 绝对不是同一个概念，Runas_Alias 定义的是某个系统用户可以sudo 切换身份到Runas_Alias 下的成员；我们在授权规则中以实例进行解说；

别名规则是每行算一个规则，如果一个别名规则一行容不下时，可以通过/来续行；同一类型别名的定义，一次也可以定义几个别名，他们中间用:号分隔，

Host_Alias   HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24   注：定义主机别名HT01，通过=号列出成员
Host_Alias   HT02=st09,st10  注：主机别名HT02，有两个成员；
Host_Alias   HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,st10   注：上面的两条对主机的定义，可以通过一条来实现，别名之间用:号分割；

 

注：我们通过Host_Alias定义主机别名时，项目可以是主机名、可以是单个ip（整段ip地址也可以），也可以是网络掩码；如果是主机名，必须是多台机器的网络中，而且这些机器得能通过主机名相互通信访问才有效。那什么才算是通过主机名相互通信或访问呢？比如 ping主机名，或通过远程访问主机名来访问。在我们局域网中，如果让计算机通过主机名访问通信，必须设置/etc/hosts，/etc/resolv.conf，还要有DNS做解析，否则相互之间无法通过主机名访问；在设置主机别名时，如果项目是中某个项目是主机名的话，可以通过hostname命令来查看本地主机的主机名，通过w命令查来看登录主机是来源，通过来源来确认其它客户机的主机名或ip地址；对于主机别名的定义，看上去有点复杂，其实是很简单。

如果您不明白Host_Alias 是怎么回事，也可以不用设置主机别名，在定义授权规则时通过ALL

来匹配所有可能出现的主机情况。如果您把主机方面的知识弄的更明白，的确需要多多学习。

User_Alias    SYSAD=beinan,linuxsir,bnnnb,lanhaitun  注：定义用户别名，下有四个成员；要在系统中确实在存在的；
User_Alias    NETAD=beinan,bnnb   注：定义用户别名NETAD ，我想让这个别名下的用户来管理网络，所以取了NETAD的别名；
User_Alias    WEBMASTER=linuxsir    注：定义用户别名WEBMASTER，我想用这个别名下的用户来管理网站；
User_Alias    SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir  注：上面三行的别名定义，可以通过这一行来实现，请看前面的说明，是不是符合？

Cmnd_Alias   USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown,/bin/chmod

注意：命令别名下的成员必须是文件或目录的绝对路径；

Cmnd_Alias    DISKMAG=/sbin/fdisk,/sbin/parted
Cmnd_Alias    NETMAG=/sbin/ifconfig,/etc/init.d/network
Cmnd_Alias     KILL = /usr/bin/kill
Cmnd_Alias     PWMAG = /usr/sbin/reboot,/usr/sbin/halt
Cmnd_Alias     SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, /   
                                /usr/local/bin/tcsh, /usr/bin/rsh,  /
                                /usr/local/bin/zsh

注：这行定义命令别名有点长，可以通过 / 号断行；

Cmnd_Alias     SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin

 

在上面的例子中，有KILL和PWMAG的命令别名定义，我们可以合并为一行来写，也就是等价行；

Cmnd_Alias     KILL =/usr/bin/kill:PWMAG = /usr/sbin/reboot,/usr/sbin/halt 注：这一行就代表了KILL和PWMAG命令别名，把KILL和PWMAG的别名定义合并在一行写也是可以的；


Runas_Alias    OP = root, operator  
Runas_Alias  DBADM=mysql:OP = root, operator   注：这行是上面两行的等价行；至于怎么理解Runas_Alias ，我们必须得通过授权规则的实例来理解；

4、/etc/sudoers中的授权规则：

授权规则是分配权限的执行规则，我们前面所讲到的定义别名主要是为了更方便的授权引用别名；如果系统中只有几个用户，其实下放权限比较有限的话，可以不用定义别名，而是针对系统用户直接直接授权，所以在授权规则中别名并不是必须的；

授权规则并不是无章可寻，我们只说基础一点的，比较简单的写法，如果您想详细了解授权规则写法的，请参看man sudoers

授权用户  主机=命令动作 

 

这三个要素缺一不可，但在动作之前也可以指定切换到特定用户下，在这里指定切换的用户要用( )号括起来，如果不需要密码直接运行命令的，应该加NOPASSWD:参数，但这些可以省略；举例说明；

实例一：

beinan ALL=/bin/chown,/bin/chmod

 

如果我们在/etc/sudoers 中添加这一行，表示beinan 可以在任何可能出现的主机名的系统中，可以切换到root用户下执行/bin/chown 和/bin/chmod 命令，通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令；

值得注意的是，在这里省略了指定切换到哪个用户下执行/bin/shown 和/bin/chmod命令；在省略的情况下默认为是切换到root用户下执行；同时也省略了是不是需要beinan用户输入验证密码，如果省略了，默认为是需要验证密码。

为了更详细的说明这些，我们可以构造一个更复杂一点的公式；

授权用户 主机=[(切换到哪些用户或用户组)] [是否需要密码验证] 命令1,[(切换到哪些用户或用户组)] [是否需要密码验证] [命令2],[(切换到哪些用户或用户组)] [是否需要密码验证] [命令3]......

注解：

凡是[ ]中的内容，是可以省略；命令与命令之间用,号分隔；通过本文的例子，可以对照着看哪些是省略了，哪些地方需要有空格；
在[(切换到哪些用户或用户组)] ，如果省略，则默认为root用户；如果是ALL ，则代表能切换到所有用户；注意要切换到的目的用户必须用()号括起来，比如(ALL)、(beinan)

实例二：

beinan  ALL=(root)    /bin/chown, /bin/chmod

 

如果我们把第一个实例中的那行去掉，换成这行；表示的是beinan 可以在任何可能出现的主机名的主机中，可以切换到root下执行/bin/chown ，可以切换到任何用户招执行/bin/chmod 命令，通过sudo -l 来查看beinan在这台主机上允许和禁止运行的命令；

实例三：

beinan  ALL=(root)   NOPASSWD:    /bin/chown,/bin/chmod

 

如果换成这个例子呢？表示的是beinan 可以在任何可能出现的主机名的主机中，可以切换到root下执行 /bin/chown，不需要输入beinan用户的密码；并且可以切换到任何用户下执行/bin/chmod命令，但执行chmod时需要beinan输入自己的密码；通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令；

关于一个命令动作是不是需要密码，我们可以发现在系统在默认的情况下是需要用户密码的，除非特加指出不需要用户需要输入自己密码，所以要在执行动作之前加入NOPASSWD: 参数；

有可能有的弟兄对系统管理的命令不太懂，不知道其用法，这样就影响了他对 sudoers定义的理解，下面我们再举一个最简单，最有说服务力的例子；

实例四：

比如我们想用beinan普通用户通过more /etc/shadow文件的内容时，可能会出现下面的情况；

[beinan@localhost ~]$ more /etc/shadow
/etc/shadow: 权限不够

 

这时我们可以用sudo more /etc/shadow 来读取文件的内容；就就需要在/etc/soduers中给beinan授权；

于是我们就可以先su 到root用户下通过visudo 来改/etc/sudoers ；（比如我们是以beinan用户登录系统的）

[beinan@localhost ~]$ su
Password:    注：在这里输入root密码


下面运行visodu；

[root@localhost beinan]# visudo    注：运行visudo 来改 /etc/sudoers

 

加入如下一行，退出保存；退出保存，在这里要会用vi，visudo也是用的vi编辑器；至于vi的用法不多说了；

beinan ALL=/bin/more  表示beinan可以切换到root下执行more 来查看文件；

 

退回到beinan用户下，用exit命令；

[root@localhost beinan]# exit
exit
[beinan@localhost ~]$

 

查看beinan的通过sudo能执行哪些命令？

[beinan@localhost ~]$ sudo -l
Password:  注：在这里输入beinan用户的密码
Userbeinan may run the following commands on this host:  注：在这里清晰的说明在本台主机上，beinan用户可以以root权限运行more ；在root权限下的more ，可以查看任何文本文件的内容的；
    (root) /bin/more

 

最后，我们看看是不是beinan用户有能力看到/etc/shadow文件的内容；

[beinan@localhost ~]$ sudo more /etc/shadow

 

beinan 不但能看到 /etc/shadow文件的内容，还能看到只有root权限下才能看到的其它文件的内容，比如；

[beinan@localhost ~]$ sudo more /etc/gshadow

 

对于beinan用户查看和读取所有系统文件中，我只想把/etc/shadow 的内容可以让他查看；可以加入下面的一行；

beinan ALL=/bin/more  /etc/shadow

 

题外话：有的弟兄会说，我通过su 切换到root用户就能看到所有想看的内容了，哈哈，对啊。但咱们现在不是在讲述sudo的用法吗？如果主机上有多个用户并且不知道root用户的密码，但又想查看某些他们看不到的文件，这时就需要管理员授权了；这就是sudo的好处；

实例五：练习用户组在/etc/sudoers中写法；

如果用户组出现在/etc/sudoers 中，前面要加%号，比如%beinan ，中间不能有空格；

%beinan  ALL=/usr/sbin/*,/sbin/*

如果我们在 /etc/sudoers 中加上如上一行，表示beinan用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行 /usr/sbin和/sbin目录下的所有命令；

实例六：练习取消某类程序的执行；

取消程序某类程序的执行，要在命令动作前面加上!号； 在本例中也出现了通配符的*的用法；

beinan  ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk    注：把这行规则加入到/etc/sudoers中；但您得有beinan这个用户组，并且beinan也是这个组中的才行；

 

本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk 程序除外；

[beinan@localhost ~]$ sudo -l
Password: 注：在这里输入beinan用户的密码；
User beinan may run the following commands on this host:
(root) /usr/sbin/*
(root) /sbin/*
(root) !/sbin/fdisk

[beinan@localhost ~]$ sudo /sbin/fdisk -l
Sorry, user beinan is not allowed to execute '/sbin/fdisk -l' as root on localhost.

 

注：不能切换到root用户下运行fdisk 程序；

实例七：别名的运用的实践；

假如我们就一台主机localhost，能通过hostname来查看，我们在这里就不定义主机别名了，用ALL来匹配所有可能出现的主机名；并且有beinan、linuxsir、lanhaitun用户；主要是通过小例子能更好理解；sudo虽然简单好用，但能把说的明白的确是件难事；最好的办法是多看例子和man soduers ；

User_Alias  SYSADER=beinan,linuxsir,%beinan
User_Alias   DISKADER=lanhaitun   
Runas_Alias  OP=root    
Cmnd_Alias     SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root  
Cmnd_Alias     DSKCMD=/sbin/parted,/sbin/fdisk  注：定义命令别名DSKCMD，下有成员parted和fdisk ；
SYSADER    ALL= SYDCMD,DSKCMD  
DISKADER   ALL=(OP)   DSKCMD

 

注解：

第一行：定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员，用户组前面必须加%号；
第二行：定义用户别名 DISKADER ，成员有lanhaitun
第三行：定义Runas用户，也就是目标用户的别名为OP，下有成员root
第四行：定义SYSCMD命令别名，成员之间用,号分隔，最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码；
第五行：定义命令别名DSKCMD，下有成员parted和fdisk ；
第六行： 表示授权SYSADER下的所有成员，在所有可能存在的主机名的主机下运行或禁止SYDCMD和DSKCMD下定义的命令。更为明确遥说，beinan、linuxsir和beinan用户组下的成员能以root身份运行chown 、chmod 、adduser、passwd，但不能更改root的密码；也可以以root身份运行 parted和fdisk，本条规则的等价规则是；

beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

 

第七行：表示授权DISKADER 下的所有成员，能以OP的身份，来运行 DSKCMD ，不需要密码；更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令；其等价规则是：

lanhaitun   ALL=(root) /sbin/parted,/sbin/fdisk

 

可能有的弟兄会说我想不输入用户的密码就能切换到root并运行SYDCMD和DSKCMD 下的命令，那应该把把NOPASSWD:加在哪里为好？理解下面的例子吧，能明白的；

SYSADER    ALL= NOPASSWD:  SYDCMD, NOPASSWD: DSKCMD  

5、/etc/sudoers中其它的未尽事项；

在授权规则中，还有 NOEXEC:和EXEC的用法，自己查man sudoers 了解；还有关于在规则中通配符的用法，也是需要了解的。这些内容不多说了，毕竟只是一个入门性的文档。soduers配置文件要多简单就有多简单，要多难就有多难，就看自己的应用了。

6、sudo的用法；

我们在前面讲的/etc/sudoers 的规则写法，最终的目的是让用户通过sudo读取配置文件中的规则来实现匹配和授权，以便替换身份来进行命令操作，进而完成在其权限下不可完成的任务；

我们只说最简单的用法；更为详细的请参考man sudo

sudo [参数选项] 命令
-l 列出用户在主机上可用的和被禁止的命令；一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的；
-v 验证用户的时间戳；如果用户运行sudo 后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo 操作；用-v 可以跟踪最新的时间戳；
-u 指定以以某个用户执行特定操作；
-k 删除时间戳，下一个sudo 命令要求用求提供密码；

举列：

首先我们通过visudo 来改/etc/sudoers 文件，加入下面一行；

beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

 

然后列出beinan用户在主机上通过sudo 可以切换用户所能用的命令或被禁止用的命令；

[beinan@localhost ~]$ sudo -l  注：列出用户在主机上能通过切换用户的可用的或被禁止的命令；
Password:  注：在这里输入您的用户密码；
User beinan may run the following commands on this host:
    (root) /bin/chown  注：可以切换到root下用chown命令；
    (root) /bin/chmod  注：可以切换到root下用chmod命令；
    (root) /usr/sbin/adduser 注：可以切换到root下用adduser命令；
    (root) /usr/bin/passwd  [A-Za-z]* 注：可以切换到root下用 passwd 命令；
    (root) !/usr/bin/passwd root  注：可以切换到root下，但不能执行passwd root 来更改root密码；
    (root) /sbin/parted     注：可以切换到 root下执行parted ；
    (root) /sbin/fdisk  注：可以切换到root下执行 fdisk ；

 

通过上面的sudo -l 列出可用命令后，我想通过chown 命令来改变/opt目录的属主为beinan ；

[beinan@localhost ~]$ ls -ld /opt   注：查看/opt的属主；
drwxr-xr-x  26 root root 4096 10月 27 10:09 /opt   注：得到的答案是归属root用户和root用户组；

[beinan@localhost ~]$ sudo chown beinan:beinan /opt  注：通过chown 来改变属主为beinan用户和beinan用户组；
[beinan@localhost ~]$ ls -ld /opt   注：查看/opt属主是不是已经改变了；
drwxr-xr-x  26 beinan beinan 4096 10月 27 10:09 /opt

 

我们通过上面的例子发现beinan用户能切换到root后执行改变用户口令的passwd命令；但上面的sudo -l 输出又明文写着不能更改root的口令；也就是说除了root的口令，beinan用户不能更改外，其它用户的口令都能更改。下面我们来测试；

对于一个普通用户来说，除了更改自身的口令以外，他不能更改其它用户的口令。但如果换到root身份执行命令，则可以更改其它用户的口令；

比如在系统中有linuxsir这个用户, 我们想尝试更改这个用户的口令，

[beinan@localhost ~]$ passwd linuxsir   注：不通过sudo 直接运行passwd 来更改linuxsir用户的口令；
passwd: Only root can specify a user name.  注：失败，提示仅能通过 root来更改；
[beinan@localhost ~]$ sudo passwd linuxsir   注：我们通过/etc/sudoers 的定义，让beinan切换到root下执行 passwd 命令来改变linuxsir的口令；
Changing password for user linuxsir.
New UNIX password:  注：输入新口令；
Retype new UNIX password:  注：再输入一次；
passwd: all authentication tokens updated successfully.  注：改变成功；

后记：

本文是用户管理的文档的重要组成部份，我计划在明天开始写用户管理控制工具，比如 useradd、userdel、usermod ，也就是管理用户的工具介绍；当然我还会写用户查询工具等与用户管理相关的；

关于本文：

超级权限管理这篇文档是我写的最费力气的文档，写的我都怕了；虽然这个文档是最简单的文档，我自己是明白，但就是表达不出来，而且无论怎么表达，我都感觉是把问题看的太复杂。前前后后写了一个星期都不止；每天坚持十几个小时就是为了写这篇文档，写了好多字，一看不太行就删除重写。得写次数不下十次。改了又写，写了又改，人都崩溃了，不知道什么时候才是尽头；

在我看来，这篇文档还得改；我不知道初学者是不是能看得懂，至少我需要初学者反馈一点信息，谢谢；

当然高手的指点，我就更欢迎了。。。。。。

致谢：

感谢pandonny兄弟有关sudo概念性提供理论援助；
感谢etony 兄弟的提供修改建议；
感谢懒猫兄弟修正文档概念及目录，并加入索引；
感谢Arch 修正文档中关于sudo 授权规则定义中的有关passwd 的修正；

参考文档：

su、sudo、sudoers 的帮助文档

相关文档：

《Linux 用户（user）和用户组（group）管理概述》
《用户（user）和用户组（group）配置文件详解》
《Linux 用户（User）查询篇》
《Linux 用户管理工具介绍》
《Linux 系统中的超级权限的控制》
《在Linux系统中，批量添加用户的操作流程》

• 要发表评论，请先登录 或 注册

很好的文章

On 十一月 11th, 2005 ssl says:

我是初学者,能看懂,不过刚开始文章所说的"别名"的作用说的不是很清楚,我看了实例七：别名的运用的实践才知道了何作用,我觉得别名应该放在文章后面讲,正如你所说,要多简单就有多简单,要多复杂就有多复杂,从简单的加一行:
ssl ALL=NOPASSWD:/bin/sbin/*,NOPASSWD:/sbin/*,NOPASSWD:/bin/*
到大量用户的别名方式

• 要发表评论，请先登录 或 注册

谢谢，在这方面是有点乱

On 十一月 13th, 2005 北南南北 says:

兄弟说的极对，是应该把别名放在最后来说。

我在近期内调整一下，初学的弟兄能看懂是最好的，如果看不懂，这篇文档就是一无可用；

北南 呈上

• 要发表评论，请先登录 或 注册

看得不累并且有收获

On 十一月 1st, 2005 Anonymous (未验证) says:

这篇文章看了我近1小时，看得不累并且有收获，不错，谢了。
另外北南兄自己注意身体！一天写10多个小时别累出病了~~~~

感觉应该把程序的suid sgid简单提一下，做个对比。

• 要发表评论，请先登录 或 注册

有关suid和sgid的，我想放在其它文档中写

On 十一月 1st, 2005 beinan says:

谢谢兄弟鼓励和关心，我想把suid和sgid放在另一篇中写；

用户的角色、权限和文件、目录的相关联的。写基础文档有点感觉无从下手；只能一个一个的来解决。现在感觉自己实力不足，但对我也是有好处的，能把原来的东西加强一下，现在对有些东西能知其所以然了；

北南 呈上

• 要发表评论，请先登录 或 注册

感谢eTony 、懒猫、Arch等的修改；

On 十一月 1st, 2005 beinan says:

eTony兄弟修正了若干，主要是概念及表达上的冲突；

+++++++++++++++++++++++++++++++++++
懒猫兄弟修正的内容如下：
+++++++++++++++++++++++++++++++++++

关于您的 su 和 sudo 的文档。

可能对于初学者或者阅读者来说，一篇好的文章，如果有一个目录纲要在前面“导航”一下，文档内容归类得清晰一些，看起来会更加舒服吧。

个人建议您把文档内第一大点（对……的理解）的内容再细分一下（不一定追加内容），用小标题概括起来，然后在目录纲要中体现，这样会不会对于编写者您来说也会更加清晰一点呢？或许经过这样的编排你的思路也会更清晰、修改也更加容易吧？

刚才重新看了一遍，对该文档的目录结构提一个参考方案（也许其实只是某些点换了个标题，应该还有错漏的

一. 理解 Linux 系统中的用户和用户权限

1. 什么是超级用户

2. 理解 UID 和用户的对应关系

3. 普通用户和伪装用户

二. 超级用户（权限）在系统管理中的作用

1. 管理文件、目录和进程

2. 全局性管理操作

3. 超级权限的不可替代性

三. 使用 su 命令临时切换用户身份

1. su 的适用条件和威力

2. su 命令的用法

3. 范例

4. 优势和不足

四. sudo ：受限使用的 su

1. sudo 的适用条件和威力

2. 从编写 sudo 配置文件开始

3. 如何配置别名规则

4. 如何配置授权规则

5. 如何使用 sudo 命令

五. 后记

六. 关于本文

+++++++++++++++++++++++++++++++++++
Arch兄弟修正内容如下：
+++++++++++++++++++++++++++++++++++

第六行： 表示授权SYSADER下的所有成员，在所有可能存在的主机名的主机下运行或禁止SYDCMD和DSKCMD下定义的命令。更为明确遥说，beinan、linuxsir和beinan用户组下的成员能以root身份运行chown 、chmod 、adduser、passwd，但不能更改root的密码；也可以以root身份运行 parted和fdisk，本条规则的等价规则是；

beinan,linuxsir,%beinanALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd,!/usr/bin/passwdroot,/sbin/parted,/sbin/fdisk

 

这里好像没有达到不能修改root密码的要求，sudo passwd和sudo passwd root的效果是等价的吧，^_^

您看这样改是否可行？

beinan,linuxsir,%beinanALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,!/usr/bin/passwd,!/usr/bin/passwdroot,/usr/bin/passwd [A-Za-z]*, /sbin/parted,/sbin/fdisk

 

===================================
自由与梦想齐飞，欢迎光临LinuxSir.Org；
开源传万世，因有我参与；