sudo 命令語法
sudo [-bhHpV][-s ][-u <用戶>][指令]
或
sudo [-klv]
參數
-b 在後臺執行指令。
-h 顯示幫助。
-H 將HOME環境變量設爲新身份的HOME環境變量。
-k 結束密碼的有效期限,也就是下次再執行sudo時便需要輸入密碼。
-l 列出目前用戶可執行與無法執行的指令。
-p 改變詢問密碼的提示符號。
-s 執行指定的shell。
-u <用戶> 以指定的用戶作爲新的身份。若不加上此參數,則預設以root作爲新的身份。
-v 延長密碼有效期限5分鐘。
-V 顯示版本信息。
-S 從標準輸入流替代終端來獲取密碼
sudo 程序相關文件
/etc/sudoers
/etc/init.d/sudo
/etc/pam.d/sudo
/var/lib/sudo
/usr/share/doc/sudo
/usr/share/lintian/overrides/sudo
/usr/share/bash-completion/completions/sudo
/usr/bin/sudo
/usr/lib/sudo
基本配置
系統默認創建了一個名爲 sudo 的組。只要把用戶加入這個組,用戶就具有了 sudo 的權限。
至於如何把用戶加入 sudo 組,您可以直接編輯 /etc/group 文件,當然您得使用一個有 sudo 權限的用戶來幹這件事:
$ sudo vim /etc/group
在 sudo 組中加入新的用戶,要使用逗號分隔多個用戶。
或者您可以使用 usermod 命令把用戶添加到一個組中:
$ sudo usermod -a -G sudo jack
上面的設置中我們把用戶 jack 添加到了 sudo 組中,所以當用戶 jack 登錄後就可以通過 sudo 命令以 root 權限執行命令了!
詳細配置
在前面的配置中我們只是把用戶 jack 加入了 sudo 組,他就具有了通過 root 權限執行命令的能力。
現在我們想問一下,這是怎麼發生的?是時候介紹如何配置 sudo 命令了!
sudo 命令的配置文件爲 /etc/sudoers。(注意,/etc/sudoers 的配置內容十分豐富,我們僅做簡單的介紹。要了解更多信息,請參考 man sudoers。)
編輯這個文件是有單獨的命令的 visudo(這個文件我們最好不要使用 vim 命令來打開),是因爲一旦你的語法寫錯會造成嚴重的後果,這個工具會替你檢查你寫的語法,這個文件的語法遵循以下格式:
who where whom command
說白了就是哪個用戶在哪個主機以誰的身份執行那些命令,那麼這個 where, 是指允許在那臺主機 ssh 連接進來才能執行後面的命令,文件裏面默認給 root 用戶定義了一條規則:
root ALL=(ALL:ALL) ALL
root 表示 root 用戶。
ALL 表示從任何的主機上都可以執行,也可以這樣 192.168.100.0/24。
(ALL:ALL) 是以誰的身份來執行,ALL:ALL 就代表 root 可以任何人的身份來執行命令。
ALL 表示任何命令。
那麼整條規則就是 root 用戶可以在任何主機以任何人的身份來執行所有的命令。
現在我們可以回答 jack 爲什麼具有通過 root 權限執行命令的能力了。打開 /etc/sudoers 文件:
sudo 組中的所有用戶都具有通過 root 權限執行命令的能力!
再看個例子:
nick 192.168.10.0/24=(root) /usr/sbin/useradd
上面的配置只允許 nick 在 192.168.10.0/24 網段上連接主機並且以 root 權限執行 useradd 命令。
設置 sudo 時不需要輸入密碼
執行 sudo 命令時總是需要輸入密碼事件很不爽的事情(拋開安全性)。有些應用場景也需要在執行 sudo 時避開輸入密碼的交互過程。
那麼需要如何設置呢?其實很簡單,只需要在配置行中添加 NOPASSWD: 就可以了:
****** ALL=(ALL) NOPASSWD: ALL
再試試看,是不是已經不需要輸入密碼了?
sudo 的日誌
在 ubuntu 中,sudo 的日誌默認被記錄在 /var/log/auth.log 文件中。當我們執行 sudo 命令時,相關日誌都是會被記錄下來的。比如下圖中顯示的就是一次執行 sudo 命令的日誌: