Linux指令之sudo

########################################################

本文全部内容摘自網際網路,由本人整理收藏.

sudo是linux系統管理指令，是允許系統管理者讓普通使用者執行一些或者全部的root指令的一個工具，如halt，reboot，su等等。這樣不僅減少了root使用者的登陸 和管理時間，同樣也提高了安全性。Sudo不是對shell的一個代替，它是面向每個指令的。

概述

它的特性主要有這樣幾點： 

Sudo能夠限制使用者隻在某台主機上運作某些指令。 

Sudo提供了豐富的日志，詳細地記錄了每個使用者幹了什麼。它能夠将日志傳到中心主機或者日志伺服器。 

Sudo使用時間戳檔案來執行類似的“檢票”系統。當使用者調用sudo并且輸入它的密碼時，使用者獲得了一張存活期為5分鐘的票（這個值可以在編譯的時候改變,也可以使用sudo -k,讓其立即失效,即再次執行指令的時候,不到5分鐘也會需要密碼）。 

Sudo的配置檔案是sudoers檔案，它允許系統管理者集中的管理使用者的使用權限和使用的主機。它所存放的位置預設是在/etc/sudoers，屬性必須為0411。

配置

編輯配置檔案指令:visudo

預設配置檔案位置:/etc/sudoers

可以用visudo編輯sudoers配置檔案，不過也可以直接通過修改sudoers檔案實作，不過編輯之前最好看一下它的sample.sudoers檔案，裡面有一個相當詳細的例子可以參考。 

#第一部分：使用者定義，将使用者分為FULLTIMERS、PARTTIMERS和WEBMASTERS三類。 

User_Alias FULLTIMERS = millert, mikef, dowdy 

User_Alias PARTTIMERS = bostley, jwfox, crawl 

User_Alias WEBMASTERS = will, wendy, wim 

#第二部分，将操作類型分類。 

Runas_Alias OP = root, operator 

Runas_Alias DB = oracle, sybase 

#第三部分，将主機分類。這些都是随便分得，目的是為了更好地管理。 

Host_Alias SPARC = bigtime, eclipse, moet, anchor :\ 

SGI = grolsch, dandelion, black :\ 

ALPHA = widget, thalamus, foobar :\ 

HPPA = boa, nag, python 

Host_Alias CUNETS = 128.138.0.0/255.255.0.0 

Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0 

Host_Alias SERVERS = master, mail, www, ns 

Host_Alias CDROM = orion, perseus, hercules 

#第四部分，定義指令和指令地路徑。指令一定要使用絕對路徑，避免其他目錄的同名指令被執行，造成安全隐患 ,是以使用的時候也是使用絕對路徑! 

Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\ 

/usr/sbin/restore, /usr/sbin/rrestore 

Cmnd_Alias KILL = /usr/bin/kill 

Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm 

Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown 

Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt 

Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot 

Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ 

/usr/local/bin/tcsh, /usr/bin/rsh, \ 

/usr/local/bin/zsh 

Cmnd_Alias SU = /usr/bin/su 

# 這裡是針對不同的使用者采用不同地政策，比如預設所有的syslog直接通過auth 輸出。FULLTIMERS組不用看到lecture（第一次運作時産生的消息）；使用者millert使用sudo時不用輸入密碼；以及logfile的 路徑在/var/log/sudo.log而且每一行日志中必須包括年。 

Defaults syslog=auth 

Defaults:FULLTIMERS !lecture 

Defaults:millert !authenticate 

Defaults@SERVERS log_year, logfile=/var/log/sudo.log 

#root和wheel組的成員擁有任何權利。 如果想對一組使用者進行定義，可以在組名前加上%，對其進行設定. 

root ALL = (ALL) ALL 

%wheel ALL = (ALL) ALL 

#FULLTIMERS可以運作任何指令在任何主機而不用輸入自己的密碼 

FULLTIMERS ALL = NOPASSWD: ALL 

#PARTTIMERS可以運作任何指令在任何主機，但是必須先驗證自己的密碼。 

PARTTIMERS ALL = ALL 

#jack可以運作任何指令在定義地CSNET（128.138.243.0, 128.138.242.0和128.138.204.0/24的子網）中，不過注意前兩個不需要比對子網路遮罩，而後一個必須比對掩碼。 

jack CSNETS = ALL 

#lisa可以運作任何指令在定義為CUNETS（128.138.0.0）的子網中主機上。 

lisa CUNETS = ALL 

#使用者operator可以運作DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有指令。 

operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\ 

/usr/oper/bin/ 

#joe可以運作su operator指令 

joe ALL = /usr/bin/su operator 

#pete可以為除root之外地使用者修改密碼。 

pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root 

#bob可以在SPARC和SGI機器上和OP使用者組中的root和operator一樣運作如何指令。 

bob SPARC = (OP) ALL : SGI = (OP) ALL 

#jim可以運作任何指令在biglab網絡組中。Sudo預設“+”是一個網絡組地字首。 

jim +biglab = ALL 

#在secretaries中地使用者幫助管理列印機，并且可以運作adduser和rmuser指令。 

+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser 

#fred能夠直接運作oracle或者sybase資料庫。 

fred ALL = (DB) NOPASSWD: ALL 

#john可以在ALPHA機器上，su除了root之外地所有人。 

john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root* 

#jen可以在除了SERVERS主機組的機器上運作任何指令。 

jen ALL, !SERVERS = ALL 

#jill可以在SERVERS上運作/usr/bin/中的除了su和shell指令之外的所有指令。 

jill SERVERS = /usr/bin/, !SU, !SHELLS 

#steve可以作為普通使用者運作在CSNETS主機上的/usr/local/op_commands/内的任何指令。 

steve CSNETS = (operator) /usr/local/op_commands/ 

#matt可以在他的個人工作站上運作kill指令。 

matt valkyrie = KILL 

#WEBMASTERS使用者組中的使用者可以以www的使用者名運作任何指令或者可以su www。 

WEBMASTERS www = (www) ALL, (root) /usr/bin/su www 

#任何使用者可以mount或者umount一個cd-rom在CDROM主機上，而不用輸入密碼。 

ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\ 

/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM

使用

格式

sudo -V 

sudo -h 

sudo -l 

sudo -v 

sudo -k 

sudo -s 

sudo -H 

sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s

參數

-V 顯示版本編号 

-h 會顯示版本編号及指令的使用方式說明 

-l 顯示出自己（執行 sudo 的使用者）的權限 

-v 因為 sudo 在第一次執行時或是在 N 分鐘内沒有執行（N 預設為五）會問密碼，這個參數是重新做一次确認，如果超過 N 分鐘，也會問密碼 

-k 将會強迫使用者在下一次執行 sudo 時問密碼（不論有沒有超過 N 分鐘） 

-b 将要執行的指令放在背景執行 

-p prompt 可以更改問密碼的提示語，其中 %u 會代換為使用者的帳号名稱， %h 會顯示主機名稱 

-u username/#uid 不加此參數，代表要以 root 的身份執行指令，而加了此參數，可以以 username 的身份執行指令（#uid 為該 username 的使用者号碼） 

-s 執行環境變數中的 SHELL 所指定的 shell ，或是 /etc/passwd 裡所指定的 shell 

-H 将環境變數中的 HOME （家目錄）指定為要變更身份的使用者家目錄（如不加 -u 參數就是系統管理者 root ） 

command 要以系統管理者身份（或以 -u 更改為其他人）執行的指令

範例

1. sudo -l 列出目前的權限 

2. sudo -V 列出 sudo 的版本資訊 

3. 指令名稱:sudoers（在fc5下顯示不能找到此指令，但用man可以查到其用法。）用來顯示可以使用sudo的使用者

/etc/sudoers的配置

# User privilege specification 

root ALL=(ALL) ALL 

# Members of the admin group may gain root privileges 

%admin ALL=(ALL) ALL 

下面對以上配置做簡要說明： 

第一項配置的作用，是允許root使用者使用sudo指令變成系統中任何其它類型的使用者。第二個配置規定，管理組中的所有成員都能以root的身份執行所有指令。是以，在預設安裝的Ubuntu系統中，要想作為root身份來執行指令的話，隻要在sudo後面跟上欲執行的指令即可。 

我們用一個執行個體來詳細解釋/etc/sudoers檔案的配置文法，請看下面的例子： 

jorge ALL=(root) /usr/bin/find, /bin/rm 

上面的第一欄規定它的适用對象：使用者或組，就本例來說，它是使用者jorge。此外，因為系統中的組和使用者可以重名，要想指定該規則的适用對象是組而非使用者的話，組對象的名稱一定要用百分号%開頭。 

第二欄指定該規則的适用主機。當我們在多個系統之間部署sudo環境時，這一欄格外有用，這裡的ALL代表所有主機。但是，對于桌面系統或不想将sudo部署到多個系統的情況，這一欄就換成相應的主機名。 

第三欄的值放在括号内，指出第一欄規定的使用者能夠以何種身份來執行指令。本例中該值設為root，這意味着使用者jorge能夠以root使用者的身份來運作後面列出的指令。該值也可以設成通配符ALL，jorge便能作為系統中的任何使用者來執行列出的指令了。 

最後一欄（即/usr/bin/find,/bin/rm）是使用逗号分開的指令表，這些指令能被第一欄規定的使用者以第三欄指出的身份來運作它們。本例中，該配置允許jorge作為超級使用者運作/usr/bin/find和 /bin/rm這兩個指令。需要指出的是，這裡列出的指令一定要使用絕對路徑。 

進一步： 

我們可以利用這些規則為系統建立具體的角色。例如，要讓一個組負責帳戶管理，你一方面不想讓這些使用者具備完全的root通路權限，另一方面還得讓他們具有增加和删除使用者的權利，那麼我們可以在系統上建立一個名為accounts的組，然後把那些使用者添加到這個組裡。之後，再使用visudo為/etc/sudoers添加下列内容： %accounts ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel, /usr/sbin/usermod 

現在好了，accounts組中的任何成員都能運作useradd、userdel和usermod指令了。如果過一段時間後，您發現該角色還需要其他工具，隻要在該表的尾部将其添上就行了。這樣真是友善極了！ 

需要注意的是，當我們為使用者定義可以運作的指令時，必須使用完整的指令路徑。這樣做是完全出于安全的考慮，如果我們給出的指令隻是簡單的userad而非/usr/sbin/useradd，那麼使用者有可能建立一個他自己的腳本，也叫做userad，然後放在它的本地路徑中，如此一來他就能夠通過這個名為useradd的本地腳本，作為root來執行任何他想要的指令了。這是相當危險的！ 

sudo指令的另一個便捷的功能，是它能夠指出哪些指令在執行時不需要輸入密碼。這很有用，尤其是在非互動式腳本中以超級使用者的身份來運作某些指令的時候。例如，想要讓使用者作為超級使用者不必輸入密碼就能執行kill指令，以便使用者能立刻殺死一個失控的程序。為此，在指令行前邊加上NOPASSWD:屬性即可。例如，可以在/etc/sudoers檔案中加上下面一行，進而讓jorge獲得這種權力： jorge ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall 

這樣一來，jorge就能運作以下指令，作為root使用者來殺死失控的rm程序了。 jorge@ubuntu:~$ sudo killall rm

一點小問題

當使用sudo指令的時候,可能會出現很慢的情況,一條sudo指令下去,要等2分鐘才能執行完成.一般情況下是不會出現這種情況的,如果改變了主機名,就會出現這種情況,以下是解決辦法

一般是由于/etc/hosts檔案中沒有對應的 ”主機名 <--> IP位址" 互相解析條目

1）首先運作hostname指令，顯示目前主機名

[root@Honway ~]# hostname

Honway.Liu

2）然後在/etc/hosts檔案中加入一條主機名與IP位址之間的互相解析條目

echo '127.0.0.1 Honway,Liu.localdomain Honway.Liu' >> /etc/hosts

然後再使用sudo指令,就會發現,快了很多.跟使正常指令一樣了.

本文轉自 gm100861 51CTO部落格，原文連結:http://blog.51cto.com/gm100861/790747