sudo權限

sudo是Unix/Linux平台上的一個非常有用的工具，允許為非根使用者賦予一些合理的“權利”，讓他們執行一些隻有根使用者或特許使用者才能完成的任務，進而減少根使用者的登陸次數和管理時間同時也提高了系統安全性。

sudo的目的：為非根使用者授予根使用者的權限；

sudo的工作過程如下：

1，當使用者執行sudo時，系統會主動尋找/etc/sudoers檔案，判斷該使用者是否有執行sudo的權限

2，确認使用者具有可執行sudo的權限後，讓使用者輸入使用者自己的密碼确認

3，若密碼輸入成功，則開始執行sudo後續的指令

4，root執行sudo時不需要輸入密碼(sudoers檔案中有配置root ALL=(ALL) ALL這樣一條規則)

5，若欲切換的身份與執行者的身份相同，也不需要輸入密碼

----------------------------------------------------------------------------------------------------------------------------------------------------

配置檔案：/etc/sudoers

visudo指令編輯修改/etc/sudoers配置檔案:

    98 root   ALL=(ALL)        ALL

    99 User01  RHEL7-1=(root)  /usr/sbin/useradd,/usr/bin/passwd,/usr/bin/ls,/usr/bin/cat

說明：

第一個字段：root為能使用sudo指令的使用者；

第二個字段：第一個ALL為允許使用sudo的主機，第二個括号裡的ALL為使用sudo後以什麼身份(目的使用者身份）來執行指令；

第三個字段：ALL為以sudo指令允許執行的指令；

99行的解釋：

表示允許User01使用者能從RHEL7-1主機登入，以root的身份執行useradd,passwd,ls,cat指令。

以下轉載了關于visudo有用的中文解釋，可參考：

## Sudoers allows particular users to run various commands as  

## the root user, without needing the root password.  

## 該檔案允許特定使用者像root使用者一樣使用各種各樣的指令，而不需要root使用者的密碼  

##  

## Examples are provided at the bottom of the file for collections  

## of related commands, which can then be delegated out to particular  

## users or groups.  

## 在檔案的底部提供了很多相關指令的示例以供選擇，這些示例都可以被特定使用者或  

## 使用者組所使用   

## This file must be edited with the 'visudo' command.  

## 該檔案必須使用"visudo"指令編輯  

## Host Aliases  

## Groups of machines. You may prefer to use hostnames (perhaps using   

## wildcards for entire domains) or IP addresses instead.  

## 對于一組伺服器，你可能會更喜歡使用主機名（可能是全域名的通配符）  

## 、或IP位址，這時可以配置主機名稱  

# Host_Alias     FILESERVERS = fs1, fs2  

# Host_Alias     MAILSERVERS = smtp, smtp2  

## User Aliases  

## These aren't often necessary, as you can use regular groups  

## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname   

## rather than USERALIAS  

## 這并不很常用，因為你可以通過使用組來代替一組使用者的别名  

# User_Alias ADMINS = jsmith, mikem  

## Command Aliases  

## These are groups of related commands...  

## 指定一系列互相關聯的指令（當然可以是一個）的别名，通過賦予該别名sudo權限，  

## 可以通過sudo調用所有别名包含的指令，下面是一些示例  

## Networking 網絡操作相關指令别名  

# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient  

, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig  

, /sbin/mii-tool  

## Installation and management of software 軟體安裝管理相關指令别名  

# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum  

## Services 服務相關指令别名  

# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig  

## Updating the locate database 本地資料庫更新指令别名  

# Cmnd_Alias LOCATE = /usr/bin/updatedb  

## Storage 磁盤操作相關指令别名  

# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe  

, /bin/mount, /bin/umount  

## Delegating permissions 代理權限相關指令别名  

# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp   

## Processes 程序相關指令别名  

# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall  

## Drivers 驅動指令别名  

# Cmnd_Alias DRIVERS = /sbin/modprobe  

# Defaults specification  

#  

# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.   

#         You have to run "ssh -t hostname sudo <cmd>".  

# 一些環境變量的相關配置，具體情況可見man soduers  

Defaults    requiretty  

Defaults    env_reset  

Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"  

Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"  

Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"  

Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"  

Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"  

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin  

## Next comes the main part: which users can run what software on   

## which machines (the sudoers file can be shared between multiple  

## systems).  

## 下面是規則配置：什麼使用者在哪台伺服器上可以執行哪些指令（sudoers檔案可以在多個系統上共享）  

## Syntax(文法):  

##  user    MACHINE=COMMANDS 使用者 登入的主機=（可以變換的身份） 可以執行的指令  

## The COMMANDS section may have other options added to it.  

## 指令部分可以附帶一些其它的選項  

## Allow root to run any commands anywhere   

## 允許root使用者執行任意路徑下的任意指令  

root    ALL=(ALL)   ALL  

## Allows members of the 'sys' group to run networking, software,   

## service management apps and more.  

## 允許sys中戶組中的使用者使用NETWORKING等所有别名中配置的指令  

# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE  

, DRIVERS  

## Allows people in group wheel to run all commands  

## 允許wheel使用者組中的使用者執行所有指令  

%wheel  ALL=(ALL)   ALL  

## Same thing without a password  

## 允許wheel使用者組中的使用者在不輸入該使用者的密碼的情況下使用所有指令  

# %wheel    ALL=(ALL)   NOPASSWD: ALL  

## Allows members of the users group to mount and unmount the   

## cdrom as root  

## 允許users使用者組中的使用者像root使用者一樣使用mount、unmount、chrom指令  

# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom  

## Allows members of the users group to shutdown this system  

## 允許users使用者組中的使用者關閉localhost這台伺服器  

# %users  localhost=/sbin/shutdown -h now  

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)  

## 讀取放置在/etc/sudoers.d/檔案夾中的檔案（此處的#不意味着這是一個聲明）  

#includedir /etc/sudoers.d  

本文轉自babylater51CTO部落格，原文連結：http://blog.51cto.com/babylater/1962119 ，如需轉載請自行聯系原作者