一.關(guān)于sudo
? sudo命令提供了一種機(jī)制,它可以在不用分享 root 用戶的密碼的前提下��,為信任的用戶提供系統(tǒng)的管理權(quán)限����。他們可以執(zhí)行大部分的
管理操作,但又不像 root一樣有全部的權(quán)限�。sudo是一個(gè)程序�����,普通用戶可以使用它以超級(jí)用戶或其他用戶的身份執(zhí)行命令,是由安全
策略指定的�����。sudo 用戶的訪問權(quán)限是由/etc/sudoers文件控制的��。
二.sudo的工作過程
-
? 當(dāng)用戶執(zhí)行sudo時(shí)�,系統(tǒng)會(huì)主動(dòng)尋找/etc/sudoers文件,判斷該用戶是否有執(zhí)行sudo的權(quán)限
-
? 確認(rèn)用戶具有可執(zhí)行sudo的權(quán)限后�,讓用戶輸入用戶自己的密碼確認(rèn)
-
? 若密碼輸入成功,則開始執(zhí)行sudo后續(xù)的命令
-
? root執(zhí)行sudo時(shí)不需要輸入密碼(sudoers文件中有配置root ALL=(ALL) ALL這樣一條規(guī)則)
-
? 若欲切換的身份與執(zhí)行者的身份相同��,也不需要輸入密碼
三.為普通用戶配置sudo權(quán)限
? 執(zhí)行visudo命令等價(jià)于執(zhí)行vim /etc/sudoers命令���,但是在保存退出時(shí)�����,visudo會(huì)檢查內(nèi)部語法�����,避免用戶輸入錯(cuò)誤信息�����,所以推薦使
用visudo��。另外執(zhí)行visudo命令需要root權(quán)限�。為普通用戶配置sudo權(quán)限有兩種方法,下面逐一介紹����。
3.1 方法一:把普通用戶的附屬組更改為wheel�����,使其具有sudo權(quán)限(推薦)
1.wheel是基于RHEL的系統(tǒng)中的一個(gè)特殊用戶組�,它提供額外的權(quán)限,可以授權(quán)用戶像超級(jí)用戶一樣執(zhí)行受到限制的命令。
#系統(tǒng)以及默認(rèn)創(chuàng)建好這個(gè)用戶組了
[root@node5 ~]# grep wheel /etc/group
wheel:x:10:
2.首先要保證/etc/sudoers文件中的“%wheel ALL=(ALL) ALL”這一行不被注釋
[root@node5 ~]# cat /etc/sudoers
#確保/etc/sudoers文件中“%wheel ALL=(ALL) ALL”這一行不被注釋
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
3.更改nginx用戶的附屬組為wheel�����,使nginx用戶具有sudo權(quán)限
#nginx用戶是已經(jīng)創(chuàng)建好的用戶
[root@node5 ~]# id nginx
uid=8000(nginx) gid=8000(nginx) groups=8000(nginx)
#更改nginx用戶的附屬組為wheel
[root@node5 ~]# usermod -aG wheel nginx
[root@node5 ~]# id nginx
uid=8000(nginx) gid=8000(nginx) groups=8000(nginx),10(wheel)
[root@node5 ~]# grep wheel /etc/group
wheel:x:10:nginx
[root@node5 ~]# su - nginx
Last login: Wed Oct 28 16:48:36 CST 2020 on pts/0
#使用nginx用戶是查看不了/etc/shadow文件的
[nginx@node5 ~]$ tail -f /etc/shadow
tail: cannot open '/etc/shadow’ for reading: Permission denied
tail: no files remaining
#使用nginx用戶是查看不了/etc/shadow文件的�,但是前面加上sudo之后,輸入nginx密碼就可以查看/etc/shadow文件了
[nginx@node5 ~]$ sudo tail -f /etc/shadow
[sudo] password for nginx:
rpc:!!:18023:0:99999:7:::
rpcuser:!!:18023::::::
nfsnobody:!!:18023::::::
tss:!!:18341::::::
stick:$6$yKQtTFMB$YszPx1AOZQfV91stJ4NXmR/DoLU2DjluS5uycrFexU4.yMCw7kjkyQYKIF7UcE4PPCAsM.QyKaDIAgOY6zbrn/:18550:0:99999:7:::
www:!!:18557:0:99999:7:::
自此�,nginx具有了sudo權(quán)限。
3.2 方法二:修改/etc/sudoers文件,使普通用戶具有sudo權(quán)限
1.在/etc/sudoers文件中,有“root ALL=(ALL) ALL”這一行�,在此行下添加類似的一行即可,把www用戶添加進(jìn)去就具有了sudo權(quán)限�����。對(duì)于“root ALL=(ALL) ALL”這一行�����,現(xiàn)在解釋下意思:第一個(gè)ALL是指網(wǎng)絡(luò)中的主機(jī)����,第二個(gè)括號(hào)里的ALL是指目標(biāo)用戶,也就是以誰的身份去執(zhí)行命令�����,最后一個(gè)ALL當(dāng)然就是指命令名了�����。
[root@node5 ~]# id www
uid=8003(www) gid=8003(www) groups=8003(www)
#把www用戶添加到/etc/sudoers文件中
#意思是www這個(gè)用戶����,可以使用所有的命令
#但是如果只想某個(gè)用戶具有某個(gè)命令的sudo權(quán)限,可以這樣設(shè)置:putong ALL=(ALL) /usr/bin/systemctl,這樣設(shè)置的話putong這個(gè)用戶只有執(zhí)行systemctl命令的時(shí)候才會(huì)具有sudo權(quán)限
[root@node5 ~]# cat /etc/sudoers
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
www ALL=(ALL) ALL
[root@node5 ~]# su www
#www不具有查看/etc/shadow的權(quán)限
[www@node5 root]$ tail -f /etc/shadow
tail: cannot open '/etc/shadow’ for reading: Permission denied
tail: no files remaining
#www不具有查看/etc/shadow的權(quán)限�,但是加上sudo就可以查看文件內(nèi)容了
[www@node5 root]$ sudo tail -f /etc/shadow
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for www:
rpc:!!:18023:0:99999:7:::
rpcuser:!!:18023::::::
nfsnobody:!!:18023::::::
tss:!!:18341::::::
www:$6$EOuaJn9t$Qpm5GszWdDZ.dGP/GVcTzbzyeLpFqi9Zg84UmAGjnUtBb9QGV0KI7pRJGN6NiRnNvBTEKwVxjmu2Spn6l5dH6/:18564:0:99999:7:::
#例如,我們想讓Daniel用戶在linux主機(jī)上以jimmy或rene的身份執(zhí)行kill命令����,可以這樣編寫配置文件:
Daniel linux=(jimmy,rene) /bin/kill
#但這還有個(gè)問題,Daniel到底以jimmy還是rene的身份執(zhí)行��?這時(shí)我們應(yīng)該想到了sudo -u了���,它正是用在這種時(shí)候�����。 Daniel可以使用sudo -u jimmy kill PID或者sudo -u rene kill PID���。
四./etc/sudoers配置文件詳解
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
## 該文件允許特定用戶像root用戶一樣使用各種各樣的命令,而不需要root用戶的密碼
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在文件的底部提供了很多相關(guān)命令的示例以供選擇���,這些示例都可以被特定用戶或
## 用戶組所使用
##
## This file must be edited with the 'visudo' command.
## 該文件必須使用"visudo"命令編輯
## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using
## wildcards for entire domains) or IP addresses instead.
## 對(duì)于一組服務(wù)器�,你可能會(huì)更喜歡使用主機(jī)名(可能是全域名的通配符)
## ����、或IP地址�,這時(shí)可以配置主機(jī)別名
# Host_Alias FILESERVERS = fs1, fs2
# Host_Alias MAILSERVERS = smtp, smtp2
## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
## 這并不很常用���,因?yàn)槟憧梢酝ㄟ^使用組來代替一組用戶的別名
# User_Alias ADMINS = jsmith, mikem
## Command Aliases
## These are groups of related commands...
## 指定一系列相互關(guān)聯(lián)的命令(當(dāng)然可以是一個(gè))的別名��,通過賦予該別名sudo權(quán)限,
## 可以通過sudo調(diào)用所有別名包含的命令����,下面是一些示例
## Networking 網(wǎng)絡(luò)操作相關(guān)命令別名
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient
, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig
, /sbin/mii-tool
## Installation and management of software 軟件安裝管理相關(guān)命令別名
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services 服務(wù)相關(guān)命令別名
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database 本地?cái)?shù)據(jù)庫升級(jí)命令別名
# Cmnd_Alias LOCATE = /usr/bin/updatedb
## Storage 磁盤操作相關(guān)命令別名
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe
, /bin/mount, /bin/umount
## Delegating permissions 代理權(quán)限相關(guān)命令別名
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes 進(jìn)程相關(guān)命令別名
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers 驅(qū)動(dòng)命令別名
# Cmnd_Alias DRIVERS = /sbin/modprobe
# Defaults specification
#
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
# You have to run "ssh -t hostname sudo <cmd>".
# 一些環(huán)境變量的相關(guān)配置,具體情況可見man soduers
Defaults requiretty
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是規(guī)則配置:什么用戶在哪臺(tái)服務(wù)器上可以執(zhí)行哪些命令(sudoers文件可以在多個(gè)系統(tǒng)上共享)
## Syntax(語法):
##
## user MACHINE=COMMANDS 用戶 登錄的主機(jī)=(可以變換的身份) 可以執(zhí)行的命令
##
## The COMMANDS section may have other options added to it.
## 命令部分可以附帶一些其它的選項(xiàng)
##
## Allow root to run any commands anywhere
## 允許root用戶執(zhí)行任意路徑下的任意命令
root ALL=(ALL) ALL
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
## 允許sys中戶組中的用戶使用NETWORKING等所有別名中配置的命令
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE
, DRIVERS
## Allows people in group wheel to run all commands
## 允許wheel用戶組中的用戶執(zhí)行所有命令
%wheel ALL=(ALL) ALL
## Same thing without a password
## 允許wheel用戶組中的用戶在不輸入該用戶的密碼的情況下使用所有命令
# %wheel ALL=(ALL) NOPASSWD: ALL
## Allows members of the users group to mount and unmount the
## cdrom as root
## 允許users用戶組中的用戶像root用戶一樣使用mount��、unmount�、chrom命令
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
## 允許users用戶組中的用戶關(guān)閉localhost這臺(tái)服務(wù)器
# %users localhost=/sbin/shutdown -h now
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
## 讀取放置在/etc/sudoers.d/文件夾中的文件(此處的#不意味著這是一個(gè)聲明)
#includedir /etc/sudoers.d
參考鏈接:
https://blog.csdn.net/a19881029/article/details/18730671
|
