程序博客网 > 地图数据

sudo配置临时取得root权限

来源:互联网 发布:地图数据 编辑:程序博客网 时间:2024/05/22 08:42
sudo配置临时取得root权限
系统中的普通用户有时需要root权限执行某种操作,要是使用su - root的话必须要知道root的密码,这是不安全的,所以有了sudo,root可以对/etc/sudoers做一定的配置,让普通用户
在不切换到root的情况下,执行一些只有root才能执行的操作。这个文件只能root去修改,建议使用visudo这个命令修改,而不是直接vim /etc/sudoers。
原因有二:
◦ 一是它能够防止两个用户同时修改它;
◦ 二是它也能进行有限的语法检查。
当编辑这个文件有错误时,使用visudo会给出错误提示,此时可以按e重新编辑,x不保存退出,Q保存退出,如果选择Q,sudo就不能正常工作了。

实验过程完成了给指定用户sudo权限和用别名指定一组用户的可以执行的sudo指令

过程如下:

[root@mail ~]# visudo #chen为普通用户,ALL可以从任何的主机登陆,(root)可以以root身份,后面是可以执行的命令,最好写全路径     88 ## Allow root to run any commands anywhere     89 root    ALL=(ALL)       ALL     90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd     91 ## Allows members of the 'sys' group to run networking, software,[root@mail ~]# exitlogout[chen@mail 桌面]$ sudo -l#查看自己可以执行的sudo命令[sudo] password for chen:#输入自己的密码Matching Defaults entries for chen on this host:    requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME    HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME    LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/binUser chen may run the following commands on this host:    (root) /usr/sbin/useradd, (root) /usr/bin/passwd#这里看到可以执行的sudo命令[chen@mail 桌面]$ sudo useradd user3#测试[chen@mail 桌面]$ sudo passwd user3更改用户 user3 的密码 。新的 密码:无效的密码: 过短无效的密码: 过于简单重新输入新的 密码:passwd: 所有的身份验证令牌已经成功更新。[chen@mail 桌面]$ id user3#添加user3成功uid=503(user3) gid=503(user3) 组=503(user3)[chen@mail 桌面]$ visudo#普通用户不允许编辑visudo: /etc/sudoers: Permission deniedvisudo: /etc/sudoers: Permission denied[chen@mail 桌面]$ su - root密码:[root@mail ~]# visudo [root@mail ~]# cat /etc/sudoers |grep user1#编辑增加了下面一行user1 ALL=(user2)/bin/ls[root@mail ~]# su - user1[user1@mail ~]$ sudo -lWe trust you have received the usual lecture from the local SystemAdministrator. It usually boils down to these three things:    #1) Respect the privacy of others.    #2) Think before you type.    #3) With great power comes great responsibility.[sudo] password for user1: Matching Defaults entries for user1 on this host:    requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME    HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME    LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/binUser user1 may run the following commands on this host:    (user2) /bin/ls[user1@mail ~]$ ls /home/user2#user1直接查看user2的家目录肯定是不允许的ls: 无法打开目录/home/user2: 权限不够[user1@mail ~]$ sudo -u user2 ls /home/user2#但是sudo以user2的身份查看就可以a#这里不能以user2的身份添加用户,因为user2本身还没有useradd的权限#事实上,即使给user2 sudo的添加用户权限这样也是不行的,因为user2添加的时候也要sudo的啊#直接以user2肯定不行,看演示。[user1@mail ~]$ sudo -u user2 useradd user4#这时候不能添加Sorry, user user1 is not allowed to execute '/usr/sbin/useradd user4' as user2 on mail.example.com.[user1@mail ~]$ exitlogout[root@mail ~]# visudo#添加了这行,给user2 sudo添加用户的权限,这时候sudo -u user2 useradd user4是否可以呢?不行的! user2   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd[root@mail ~]# su - user2[user2@mail ~]$ sudo -lWe trust you have received the usual lecture from the local SystemAdministrator. It usually boils down to these three things:    #1) Respect the privacy of others.    #2) Think before you type.    #3) With great power comes great responsibility.[sudo] password for user2: Matching Defaults entries for user2 on this host:    requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME    HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME    LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/binUser user2 may run the following commands on this host:    (root) /usr/sbin/useradd, (root) /usr/bin/passwd[user2@mail ~]$ su - user1密码:[user1@mail ~]$ sudo -u user2 useradd user4#答案在此,不行的!Sorry, user user1 is not allowed to execute '/usr/sbin/useradd user4' as user2 on mail.example.com.[user1@mail ~]$ #总结下,sudo -u 用户名 命令 ,当前用户以某个用户的身份执行某个命令的时候,必须这个用户本身不加sudo的情况#直接能执行的命令,才可以这种方式执行。另外,sudo不加-u,默认以root身份执行[user1@mail ~]$ exitlogout[user2@mail ~]$ exitlogout[root@mail ~]# visudo #改动如下:删除了91,92行,     88 ## Allow root to run any commands anywhere     89 root    ALL=(ALL)       ALL     90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd     91 user1   ALL=(user2)     /bin/ls#删除     92 user2   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd#删除     88 ## Allow root to run any commands anywhere     89 root    ALL=(ALL)       ALL     90 chen    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd     91 ADMIN   ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd#新添加     20 # User_Alias ADMINS = jsmith, mikem     21  User_Alias ADMIN = user1, user2#新添加     22 #这里相当于ADMIN为user1,user2的别名,这个别名具有添加用户的权限,user1和user2也具有这个权限[root@mail ~]# su - user1[user1@mail ~]$ sudo -l[sudo] password for user1: Matching Defaults entries for user1 on this host:    requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME    HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME    LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/binUser user1 may run the following commands on this host:    (root) /usr/sbin/useradd, (root) /usr/bin/passwd#可以看到user1有useradd权限[user1@mail ~]$ su - user2密码:[user2@mail ~]$ sudo -l[sudo] password for user2: Matching Defaults entries for user2 on this host:    requiretty, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME    HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME    LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC    LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/binUser user2 may run the following commands on this host:    (root) /usr/sbin/useradd, (root) /usr/bin/passwd#user2也有[user2@mail ~]$


地图数据 地图数据
原创粉丝点击
热门IT博客
centos 7 shengkacentos 7 shengka
linux创建新目录命令linux创建新目录命令
acrobat for mac
淘宝网包包新款男士
2015年网络歌曲大全
域名查ip地址
网络诽谤罪的处罚
百度网盘 知乎
淘宝国际下载安装
小米快盘数据如何迁移
大同证券交易软件
新塘沙埔菜鸟网络招聘
一玩助手网络连接失败
淘宝销售保健品
淘宝买家付不了款
微星淘宝旗舰店
卡斯帕罗夫 知乎
重庆鸿巨网络怎么样
java前后端分离架构
什么是算法
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 不锈钢浮球开关厂家 球螋 小型浮球开关 球是 精工浮球 浮球液位控制器价格 自来水浮球开关 浮球变送器 防爆浮球液位计 斯派莎克浮球式疏水阀 衬四氟浮球液位计 磁性浮球液位计 小型浮球液位计 浮球怎么接线 双浮球液位计 进口浮球式疏水阀 浮生六记 浮生物语 浮生若梦 浮生记 木浮生作品 浮生 浮生陌 浮生作品 浮生梦 wy82浮生影 浮生日记 浮生的意思 浮生梦txt 浮生系列 浮生尽 许你浮生若梦免费阅读 许你浮生若梦二聂 偷得浮生半日闲 许你浮生若梦顾老三 偷得浮生半日 许你浮生若梦全文免费阅读 许你浮生若梦免费全文 许你浮生若梦免费阅读全文 许你浮生若梦全本阅读 偷得浮生半日闲全诗

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里