sudo 指令

sudo指令用來以其他身份來執行指令，預設的身份為root。在/etc/sudoers中設定了可執行sudo指令的使用者。若其未經授權的使用者企圖使用sudo，則會發出警告的郵件給管理者。使用者使用sudo時，必須先輸入密碼，之後有5分鐘的有效期限，超過期限則必須重新輸入密碼。

文法

選項

參數

執行個體

配置sudo必須通過編輯/etc/sudoers檔案，而且隻有超級使用者才可以修改它，還必須使用visudo編輯。之是以使用visudo有兩個原因，一是它能夠防止兩個使用者同時修改它；二是它也能進行有限的文法檢查。是以，即使隻有你一個超級使用者，你也最好用visudo來檢查一下文法。 

visudo預設的是在vi裡打開配置檔案，用vi來修改檔案。我們可以在編譯時修改這個預設項。visudo不會擅自儲存帶有文法錯誤的配置檔案，它會提示你出現的問題，并詢問該如何處理，就像：

此時我們有三種選擇：鍵入“e”是重新編輯，鍵入“x”是不儲存退出，鍵入“Q”是退出并儲存。如果真選擇Q，那麼sudo将不會再運作，直到錯誤被糾正。 

現在，我們一起來看一下神秘的配置檔案，學一下如何編寫它。讓我們從一個簡單的例子開始：讓使用者Foobar可以通過sudo執行所有root可執行的指令。以root身份用visudo打開配置檔案，可以看到類似下面幾行：

我們一看就明白個差不多了，root有所有權限，隻要仿照現有root的例子就行，我們在下面加一行（最好用tab作為空白）：

儲存退出後，切換到foobar使用者，我們用它的身份執行指令：

好了，我們限制一下foobar的權利，不讓他為所欲為。比如我們隻想讓他像root那樣使用ls和ifconfig，把那一行改為：

再來執行指令：

現在讓我們來看一下那三個ALL到底是什麼意思。第一個ALL是指網絡中的主機，我們後面把它改成了主機名，它指明foobar可以在此主機上執行後面的指令。第二個括号裡的ALL是指目标使用者，也就是以誰的身份去執行指令。最後一個ALL當然就是指指令名了。例如，我們想讓foobar使用者在linux主機上以jimmy或rene的身份執行kill指令，這樣編寫配置檔案：

但這還有個問題，foobar到底以jimmy還是rene的身份執行？這時我們應該想到了sudo -u了，它正是用在這種時候。 foobar可以使用sudo -u jimmy kill PID或者sudo -u rene kill PID，但這樣挺麻煩，其實我們可以不必每次加-u，把rene或jimmy設為預設的目标使用者即可。再在上面加一行：

Defaults後面如果有冒号，是對後面使用者的預設，如果沒有，則是對所有使用者的預設。就像配置檔案中自帶的一行：

另一個問題是，很多時候，我們本來就登入了，每次使用sudo還要輸入密碼就顯得煩瑣了。我們可不可以不再輸入密碼呢？當然可以，我們這樣修改配置檔案：

再來sudo一下：

當然，你也可以說“某些指令使用者foobar不可以運作”，通過使用!操作符，但這不是一個好主意。因為，用!操作符來從ALL中“剔出”一些指令一般是沒什麼效果的，一個使用者完全可以把那個指令拷貝到别的地方，換一個名字後再來運作。

日志與安全 

sudo為安全考慮得很周到，不僅可以記錄日志，還能在有必要時向系統管理者報告。但是，sudo的日志功能不是自動的，必須由管理者開啟。這樣來做：

在syslog.conf最後面加一行（必須用tab分割開）并儲存：

注意：C5.X為syslog.conf ，而 C6.X為rsyslog.conf

重新開機日志守候程序

把得到的syslogd程序的PID（輸出的第二列是PID）填入下面：

這樣，sudo就可以寫日志了：

不過，有一個小小的“缺陷”，sudo記錄日志并不是很忠實：

重定向沒有被記錄在案！為什麼？因為在指令運作之前，shell把重定向的工作做完了，sudo根本就沒看到重定向。這也有個好處，下面的手段不會得逞：

sudo 有自己的方式來保護安全。以root的身份執行sudo-V，檢視一下sudo的設定。因為考慮到安全問題，一部分環境變量并沒有傳遞給sudo後面的指令，或者被檢查後再傳遞的，比如：PATH，HOME，SHELL等。當然，你也可以通過sudoers來配置這些環境變量。

本文轉自 小楊_Ivan 51CTO部落格，原文連結:http://blog.51cto.com/aqiang/1895012