sudo詳解

原創 ftmoonfans 2019-07-19 15:00

   Sudo是Unix/Linux平臺上的一個非常有用的工具,它允許系統管理員分配給普通用戶一些合理的“權利”,讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務,比如:運行一些像mount,halt,su之類的命令,或者編輯一些系統配置文件,像/etc/mtab, /etc/samba/smb.conf等。這樣以來,就不僅減少了root用戶的登陸次數和管理時間,也提高了系統安全性。

一、sudo的特點

   sudo扮演的角色註定了它要在安全方面格外謹慎,否則就會導致非法用戶攫取root權限。同時,它還要兼顧易用性,讓系統管理員能夠更有效,更方便地使用它。sudo設計者的宗旨是:給用戶儘可能少的權限但仍允許完成他們的工作。所以,sudo有以下特點:

   1、sudo能夠限制指定用戶在指定主機上運行某些命令。

   2、sudo可以提供日誌,忠實地記錄每個用戶使用sudo做了些什麼,並且能將日誌傳到中心主機或者日誌服務器。

   3、sudo爲系統管理員提供配置文件,允許系統管理員集中地管理用戶的使用權限和使用的主機。它默認的存放位置是/etc/sudoers

   4、sudo使用時間戳文件來完成類似“檢票”的系統。當用戶執行sudo並且輸入密碼後,用戶獲得了一張默認存活期爲5分鐘的“入場券”(默認值可以在編譯的時候改變)。超時以後,用戶必須重新輸入密碼。

二、sudo命令

1、sudo條目語法如下:

   whowhich_hosts=(runas)  TAG:command

   hadoop  ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel

   註釋:hadoop用戶可以在任何地點以管理的身份執行命令useradd(無需密碼)和usermod(需要密碼)

2、關於別名(宏)

   此外sudo還支持別名的定義,我們通過引用定義好的別名可以提供工作效率:

       who                User_Alias

       which_hosts    Host_Alias

       runas              Runas_Alias

       command       Cmnd_Alias

   User_Alias   Host_Alias   Runas_Alias   Cmnd_Alias
     用戶名     主機名     用戶名     命令路徑
     組名(%)     IP地址     組名(%)       目錄
    User別名   網絡地址   Runas別名    Cmnd別名

    host別名

3、使用visudo來編輯配置文件(/etc/sudoers)

   雖然我們可以使用vim直接來編輯sudo的配置文件,但sudo提供了更加智能的編輯命令visudo,它能在編輯配置文件的同時幫我們檢查語法錯誤,並在錯誤時提供快捷的返回功能,如圖:

4、visudo常用選項

   查看當前用戶可以使用所有sudo類的命令可以使用 -l 選項,如圖:

   由於sudo默認密碼刷新時間爲5分鐘,如果剛好用戶輸入密碼執行命令之後因其他原因離開計算機,其他用戶在5分鐘之後執行相同的命令依然有效,如圖:

   爲了防止這種情況的發生,可以使用 -k 選項,如圖:

5、sudo的日誌審計

    爲了能夠明確的追究責任,sudo還提供了人性化的日誌功能,在/var/log/secure日誌文件中可以查看到,用於記錄所有sudo類用戶的所有動作,如圖:

   日誌文件的安全性  

三、基本實例用法

1、hadoop用戶可以在任何地點以管理員的身份執行命令useradd(無需密碼)和usermod(需要密碼)

   使用visudo命令在配置文件末尾添加如下內容:

hadoop  ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel

   切換至hadoop用戶測試結果:

2、hadoop用戶和組可以在任何地點以管理員的身份執行命令執行增、刪、改、設置用戶名密碼,但不允許設置管理員的密碼。

   使用visudo命令在配置文件末尾添加如下內容:

User_Alias USERADMIN = hadoop, %hadoop
Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/bin/passwd [A-Za-z]*, ! /usr/bin/passwd root
USERADMIN ALL=(root) NOPASSWD: USERADMINCMND

3、hadoop用戶只能在192.168.1.120主機遠程登錄並以管理員身份執行ifconfig eth0命令。

   使用visudo命令在配置文件末尾添加如下內容:

Cmnd_Alias NETCMND = /sbin/ifconfig eth0
hadoop 192.168.1.120 = (root) NOPASSWD:NETCMND

   使用192.168.1.104測試,如圖:

   使用192.168.1.120測試,如圖:

4、hadoop用戶可以在任何地點以任何的身份執行所有命令,等同於root。

   使用visudo命令在配置文件末尾添加如下內容:

hadoop  ALL=(ALL)       ALL

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

高效調度新篇章:詳解DolphinScheduler 3.2.0生產級集羣搭建

轉載自tuoluzhe8521 導讀:通過簡化複雜的任務依賴關係, DolphinScheduler爲數據工程師提供了強大的工作流程管理和調度能力。在3.2.0版本中,DolphinScheduler帶來了一系列新功能和改進,使其在生產環

原創 2024-05-15 21:22:54

MySQL 通過 systemd 啓動時 hang 住了……

mysqld:哥,我起不來了…… 作者:賁紹華,愛可生研發中心工程師,負責項目的需求與維護工作。其他身份:柯基鏟屎官。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註明來源。 本文約 2100 字,預計閱讀需要 7

原創 2024-05-10 00:35:39

HBase Meta 元信息表修復實踐

作者:vivo 互聯網大數據團隊 - Huang Guihu、Chen Shengzun HBase是一款開源高可靠、高可擴展性、高性能的分佈式非關係型數據庫,廣泛應用於大數據處理、實時計算、數據存儲和檢索等領域。在分佈式集羣中,硬件故

原創 2024-05-09 12:43:33

CVE復現之老洞新探(CVE-2021-3156)

環境搭建 直接拉取合適的docker docker 環境: https://hub.docker.com/r/chenaotian/cve-2021-3156 下載glibc-2.27源碼和sudo-1.8.21源碼 漏洞分析

原創 2024-05-08 22:52:37

告別手動調度,海豚調度器 3.1.x 集羣部署讓你輕鬆管理多機!

轉載自第一片心意 1 前言 由於海豚調度器官網的集羣部署文檔寫的較亂,安裝過程中需要跳轉到很多地方進行操作,所以自己總結了一篇可以直接跟着從頭到尾進行操作的文檔,以方便後續的部署、升級、新增節點、減少節點的相關操作。 2. 提前準備 2.

原創 2024-04-23 21:18:20

9n-triton部署bert模型實戰經驗

一、背景 對於算法工程師來說,通常採用python語言來作爲工作語言,但是直接用python部署線上服務性能很差。這個問題困擾了我很久,爲了緩解深度學習模型工程落地性能問題,探索了Nvidia提供的triton部署框架,並在九數中臺上完成

原創 2024-04-01 11:15:58

Apache Linkis 1.3.0 適配 華爲MRS+Scriptis 實戰分享

一、概述 團隊有需求要在頁面上同時使用sql和python語法對數據進行分析,在調研過程中發現linkis可以滿足需要,遂將其引入內網,由於使用的是華爲MRS,與開源的軟件有所不同, 又進行了二次開發適配,本文將分享使用經驗,希望對有需

微衆開源 2024-02-23 21:45:28

CentOS使用sudo提示用戶不在sudoers文件中的解決方法

CentOS使用sudo提示用戶不在sudoers文件中的解決方法參考文章: (1)CentOS使用sudo提示用戶不在sudoers文件中的解決方法 (2)https://www.cnblogs.com/snrt111/p/675200

dearbaba_8520 2020-07-06 21:28:10

基於Ubuntu14.04 LTS 安裝BigBlueButton

BigBlueButton開源視頻會議開發 安裝準備工作: 1、安裝基礎,已經存在一個乾淨的Ubuntu14.04 LTS 64-bit(或者以上版本)操作系統主機環境,且能夠正常訪問互聯網; 2、BigBlueButton-0.90

sotower 2020-07-05 21:43:33

【node片段】如何判斷是否是sudo操作

      node裏面如何判斷是否是sudo操作:   process.getuid() === 0 process.env.SUDO_USER // 如果是sudo操作,返回user  

iteye_2245 2020-06-27 11:10:17

oracle is not in the sudoers file.This incident will be reported的解決

     在root用戶環境下,修改/etc/sudoers文件權限,如下命令:     chmod u+w /etc/sudoers,在     然後vi修改該文件,找到     root ALL=(ALL) ALL     在這一行下

千纸鹤LIU 2020-06-24 08:57:14

raspbian 更換新源的方法

更新源的方法 首先備份之前的源文件 sudo cp /etc/apt/sources.list /etc/apt/sources.list_bk 更換新源 sudo vi /etc/apt/sources.list 替換源地

yangluo1683 2020-06-22 02:47:08

sudo命令無法讀取環境變量的解決方法

通過sudo -l來查看sudo的限制: $ sudo -l Matching Defaults entries for xxx on this host: env_reset, mail_badpass, secure_path

CodeApe123 2020-06-21 09:15:45

用戶名不在sudoers文件中,此事將被報告。

新建了帳號linc,執行sudo時提示信息: [sudo] password for linc: linc 不在 sudoers 文件中。此事將被報告。 sudo命令可以讓你以root身份執行命令,來完成一些我們這個帳號

默默阿狸 2020-06-20 06:08:44

docker容器內使用sudo時報bash: sudo: command not found錯誤的解決方法

報上述錯誤其實是sudo沒有安裝的原因,我們只需要對sudo進行安裝就行了。 apt-get update apt-get install sudo

CV-GANRocky 2020-06-18 23:54:59