免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

7.10 visudo：編輯 sudoers文件

?? ?visudo命令是專門(mén)用來(lái)編輯/etc/sudoers這個(gè)文件的，同時(shí)提供語(yǔ)法檢查等功能。/etc/sudoers文件是sudo命令的配置文件。?-c?? ?手動(dòng)執(zhí)行語(yǔ)法檢查?執(zhí)行visudo 對(duì)普通用戶lewen和kevin授權(quán)的例子。?

[root@cs6 ~]# visudo?
lewen       ALL=(ALL)           ALL    #<==此行是98行，將lewen提權(quán)為root身份。kevin       ALL=(ALL)           /usr/sbin/useradd,/usr/sbin/userdel    #<==授權(quán)kevin 可以以root身份添加和刪除用戶權(quán)限。    #<==分別對(duì)lewen和kevin兩個(gè)用戶做不同的授權(quán)  user     MACHINE=     COMMANDSlewen    ALL=(ALL)    /usr/sbin/useradd、/usr/sbin/userdel

　　提示：如果kevin用戶被授予上述權(quán)限，那么它可在所有的機(jī)器上以所有的角色運(yùn)行useradd、userdel命令，而oldboy用戶別會(huì)擁有和root相同的權(quán)限，并且可以切換到root賬戶。如果是針對(duì)用戶組，則對(duì)應(yīng)的授權(quán)命令如下：??%用戶組 機(jī)器=（授權(quán)使用哪個(gè)角色的權(quán)限） /usr/sbin/useradd????? ?通過(guò)sudo進(jìn)行系統(tǒng)授權(quán)管理的目的：即能讓運(yùn)維人員干活，又不會(huì)威脅系統(tǒng)安全，還可以審計(jì)用戶使用sudo的提權(quán)操作命令，默認(rèn)的用戶是無(wú)法獲得root權(quán)限的。?? ?為了管理方便，工作中可以對(duì)lewen授權(quán)ALL權(quán)限，即可以管理整個(gè)系統(tǒng)，平時(shí)可以使用lewen用戶處理工作，而不使用root用戶。?例如：工作中有批量管理用戶的需求，若使用快速操作命令增加sudo授權(quán)，則需要單獨(dú)執(zhí)行語(yǔ)法檢查，快速操作命令如下：

\cp /etc/sudoers /etc/sudoers.oriecho "lewen ALL=（ALL） NOPASSWD:ALL" >>/etc/sudoerstail -l /etc/sudoers

?? ?進(jìn)行上述操作時(shí)直接追加內(nèi)容到sudoers文件，沒(méi)有進(jìn)行語(yǔ)法檢查，因此需要單獨(dú)執(zhí)行語(yǔ)法檢查命令。?

[root@cs6 ~]# visudo -c/etc/sudoers: parsed OK

7.11 sudo：以另一個(gè)用戶身份執(zhí)行命令

?? ?通過(guò)sudo命令，可以讓普通用戶在執(zhí)行指定的命令或程序上，擁有超級(jí)用戶的權(quán)限，進(jìn)行分類，并且有針對(duì)性地（精細(xì)）將不同的命令授予指定的普通用戶，同時(shí)普通用戶不需要知道root 密碼就可以得到授權(quán)，這個(gè)授權(quán)可以用visudo配置管理。?-l?? ?列出當(dāng)前用戶可以執(zhí)行的命令。只有在sudoers文件里的用戶才能使用該選項(xiàng)-h?? ?列出使用方法，并退出-H?? ?將環(huán)境變量中的HOME（家目錄）指定為要變更身份的使用者家目錄（如果不加-u 參數(shù)就是系統(tǒng)管理者root）-V?? ?顯示版本信息，并退出-v?? ?sudo在第一次執(zhí)行時(shí)，或者在N分鐘內(nèi)沒(méi)有執(zhí)行（N預(yù)設(shè)為五），則會(huì)詢問(wèn)密碼，這個(gè)參數(shù)用于重新做一次確認(rèn)-u?? ?以指定用戶的身份執(zhí)行命令。后面是除root以外的用戶，可以是用戶名，也可以是uid-k?? ?清除時(shí)間截上的時(shí)間，下次再使用sudo時(shí)要再輸入密碼-K?? ?與k類似，同時(shí)還要?jiǎng)h除時(shí)間戳文件-b?? ?在后臺(tái)執(zhí)行指定的命令-p?? ?可以更改詢問(wèn)密碼時(shí)的提示語(yǔ)-e?? ?不執(zhí)行命令，而是修改文件，相當(dāng)于命令sudo edit??查看用戶被visudo授權(quán)后擁有的權(quán)限。已經(jīng)對(duì)lewen用戶進(jìn)行過(guò)授權(quán)，此時(shí)再以lewen用戶的身份登錄系統(tǒng)時(shí)，就可以通過(guò)執(zhí)行類似于sudo ls -l /root（sudo后面加正常命令）的命令來(lái)以root用戶的權(quán)限管理系統(tǒng)了，命令如下：?

[root@cs6 ~]# su lewen[lewen@cs6 root]$ lsls: cannot open directory .: Permission denied[lewen@cs6 root]$ sudo lscentos6_10.iso    dev_sdb1.img  fav.jpg  lewen.log  lewen.nc  nohup.out  test.data  test.test_u  test.txt  #log  web.sh[lewen@cs6 root]$

通過(guò)sudo授權(quán)管理之后，所有用戶執(zhí)行授權(quán)的特殊權(quán)限格式為“sudo命令”。如果需要切換到root執(zhí)行相關(guān)操作，則可以通過(guò)“sudo su -”命令，注意，此命令提示的密碼為當(dāng)前用戶的密碼，而不是root的密碼。執(zhí)行“sudo -l”命令可以查看當(dāng)前用戶被授予的sudo權(quán)限集合。

  [kevin@cs6 root]$ sudo ls[sudo] password for kevin:Sorry, user kevin is not allowed to execute '/bin/ls' as root on cs6.[kevin@cs6 root]$ sudo -l[sudo] password for kevin:Matching Defaults entries for kevin on this host:    !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",    env_keep ="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep ="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT    LC_MESSAGES", env_keep ="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep ="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin User kevin may run the following commands on this host:    (ALL) /usr/sbin/useradd, (ALL) /usr/sbin/userdel

對(duì)于Linux系統(tǒng)bash的內(nèi)置命令，一般無(wú)法進(jìn)行sudo授權(quán)，例如：cd命令。sudo 授權(quán)與su切換的原理示意圖如圖7-1所示。???? ?在生產(chǎn)環(huán)境中，通常會(huì)禁止root遠(yuǎn)程登錄，不過(guò)，系統(tǒng)會(huì)為每個(gè)運(yùn)維人員建立一個(gè)普通賬號(hào)，然后根據(jù)運(yùn)維人員的需求，通過(guò)sudo控制登錄系統(tǒng)的權(quán)限，事實(shí)證明這是一個(gè)不錯(cuò)的權(quán)限管理方式。當(dāng)然，在筆者的生產(chǎn)環(huán)境中還使用了ldap統(tǒng)一認(rèn)證登錄及授權(quán)管理的方式。即只要有一個(gè)賬號(hào)和密碼，即可在全公司多個(gè)機(jī)房系統(tǒng)內(nèi)通行無(wú)阻（系統(tǒng)登錄、SVN、VPN等），有關(guān)這部分內(nèi)容的講解，在老男孩教學(xué)的高級(jí)課程中會(huì)有涉及。在此大家了解下即可。?? ?普通用戶的環(huán)境變量問(wèn)題：在早期的CentOS5系統(tǒng)中，普通用戶執(zhí)行系統(tǒng)管理的相關(guān)命令時(shí)會(huì)遭遇到環(huán)境變量問(wèn)題，導(dǎo)致找不到執(zhí)行的命令（CentOS6以后的系統(tǒng)已經(jīng)不存在這個(gè)問(wèn)題了）?！udo授權(quán)對(duì)于bash內(nèi)置命令的處理是一個(gè)難題，因?yàn)閮?nèi)置命令沒(méi)有實(shí)體文件和路徑，不過(guò)一般也有解決方法，例如可以使用sudo ls替代sudo cd，有的網(wǎng)友會(huì)在使用sudo bash后再使用內(nèi)置命令，這是很危險(xiǎn)的，不推薦。??

[root@cs6 ~]# ll /var/db/sudo/total 8drwx------. 2 root kevin 4096 May 12 11:30 kevindrwx------. 2 root sa    4096 May 12 11:05 lewen

?? ?待用戶執(zhí)行sudo并且輸入密碼之后，用戶會(huì)獲得一張默認(rèn)存活期為5分鐘的“人場(chǎng)券”（默認(rèn)值可以在編譯的時(shí)候改變）。但超時(shí)以后，用戶就必須重新輸入密碼了。?? ?可以使用sudo的-k或-K參數(shù)清空sudo用戶的時(shí)間戳，這樣還會(huì)提示輸入密碼，但是如果配置授權(quán)對(duì)應(yīng)用戶時(shí)加了NOPASSWD選項(xiàng)，那么執(zhí)行sudo命令時(shí)則永久不會(huì)提示輸入密碼了。?sudo的配置文件/etc/sudoers通過(guò)以下命令可以看到sudo的配置文件/etc/sudoers里的內(nèi)容。

[root@cs6 ~]# ll /etc/sudoers-r--r-----. 1 root root 3841 May 12 11:07 /etc/sudoers

?? ?建議用visudo編輯該文件，因?yàn)樵撁钣姓Z(yǔ)法檢查，否則一旦出錯(cuò)了，普通用戶就無(wú)法使用sudo了。直接在命令行執(zhí)行visudo 即可自動(dòng)打開(kāi)/etc/sudoers文件。如果通過(guò)vi來(lái)編輯/etc/sudoers，則保存時(shí)要用“wq！”來(lái)強(qiáng)制保存，否則會(huì)提示只讀不能保存的錯(cuò)誤，而且最后還要用visudo -c進(jìn)行語(yǔ)法檢查，這樣實(shí)在太麻煩！??來(lái)源：http://www.icode9.com/content-4-188751.html