/var/db/sudo 授權sudo使用者的密碼時間戳位址 %sa代表授權一個組。
一般用visudo操作它會自動檢查文法避免錯誤,如果用echo方式追加進/etc/sudoers裡那麼就需要用visudo -c手動檢查下文法。sudo -l檢視自身權限。
可以設定使用者别名,權限别名等,主機名稱等讓它們在sudoers裡調用。
批量建立使用者和密碼:
groupadd -g 999 phpers
for n in `seq 5`
do
useradd -g phpers php00$n
echo ‘111111’ |passwd --stdin php00$n
done
别名分類加入sudoers:
##Cmnd_Alias by weipeng##2017
Cmnd_Alias CY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top
Cmnd_Alias GY_CMD_1=/usr/bin/free,/usr/bin/iostat,/usr/bin/top
然後visudo貼到結尾。
然後注意切換到root提權:
Runas_Alias OP=root !/usr/sbin/visudo表示不能隻能visudo 用‘\’換行
日志審計:
rpm-qa 查詢軟體包有沒安裝
1、echo “Defaults logfile=/var/log/sudo.log”>>/etc/sudoers
2、Echo “local2.debug /var/log/sudo.log”>>/etc/syslog.conf
3、/etc/init.d/syslog restart
原理syslog當/var/log/sudo.log追加到syslog.conf後權限隻有root有讀寫權限,避免了其他使用者有權限将sudo.log将日志删除了。然後會在sudo.log裡留下使用者操作的日志。
本文轉自 流顆星 51CTO部落格,原文連結:
http://blog.51cto.com/liukexing/1963310