一、应用场景
1、一般情况下如果一台服务器涉及到多人管理的时候,需要每人都会有一个自己的账户,但是默认普通用户需要部分超级管理员的权限,有人说直接su - root切换到超级管理员上就可以了,那日志怎么审核,这样过大家都知道root的用户密码,最初的目的就没有达到,所以引出了一个sudo的命令。
2、sudo命令的优点:
1、给普通账户部分管理员的权限不需要root密码,只需要自己的密码就行。
2、可以根据工作内容的相同,实现权限分组管理(很方便)
3、方便日志审核
二、使用方法
科普小知识,su命令切换的时候su和su -的区别是,su - 会把需Shell环境变量一起都切过去,而su只会把身份切换过去。一般情况下我们习惯使用su - 。
1、在root命令下执行visudo或者直接vi /etc/sudoers即可,打开的是同一个配置文件。
2、第一种使用方法:
1、首先在root下面建立一个普通账户,设置密码(记得要允许登录,否则毫无意义),具体新建用户的方法就不在这里赘述了。
2、这里我们给这个普通用户可以查看/etc/shadow这个密码文件和重启服务器权限,首先找到root ALL=(ALL) ALL,在这行下加上如下内容:
leihaidong ALL=/sbin/init 6,/bin/cat /etc/shadow3、这样我们使用su - leihaidong命令切换到这个普通用户下后执行sudo init 6 和cat /etc/shadow命令了,注意,如果提示你输入输入用户名密码,切记这里输入的是你当前登录的自己的用户名密码。这样就简单实现了,如果你想给更多的权限,就在后面追加,以逗号隔开。
4、如果有些命令不需要输入密码,有些又需要输入密码,可以这么写,但是这么写又特别繁琐。
leihaidong ALL=NOPASSWD:/sbin/init 6,PASSWD:/bin/cat /etc/shadow3、这一长串命令代表什么呢?
1、第一列:用户名,也就是需要授权的用户名。
2、被管理主机的地址,这里可以写IP地址,一般情况下ALL即可。
3、(ALL)指的是可使用的身份,这里如果写ALL的话,代表拥有root权限。
4、授权命令,也就是要执行命令的绝对路径,可以使用which命令查看。
提示:正常情况下大多都是想前面我提到的那两种写法。
4、第二种使用方法:
1、首先我们先想一个场景,同10个用户都会做同样的一些工作,按照上面我那种写法,就得写10行,改动起来比较繁琐,试想一下,如果我们单独写一个模板,然后建设一个组,把这些用户都加到组里面,最后让这个组使用我们单独写的这个授权模板,这样只需要加组即可实现授权。
2、还是上面的案例,我们先创建一个组,然后把leihaidong这个账户加到新建组里面。
groupadd testgroup #新建组
usermod -G testgroup leihaidong #将leihaidong加入testgroup组中3、在root下执行visudo修改授权(写删除第一种授权方法),
在文件51行附近加上下面两句,第一句是注释下面这个模板是做什么用的,第二行是新建模板INIT,这个模板授权可以重启和查看/etc/shadow文件的权限。如果不想或者强制每次执行某个命令需要输入当前用户密码,这里就不能使用这种方法了,只能一个一个写了。
##test sudo init 6
Cmnd_Alias INIT =/sbin/init 6,/bin/cat /etc/shadow4、执行有了模板,还需要让新建的testgroup这个组应用INIT这个授权模板。在文件中%wheel ALL=(ALL) ALL这行下面加入%testgroup ALL=(ALL) INIT这行命令保存退出即可(写法有误会提示你保存不了)
5、解释这句话的意思,%代表他后面的这个字符是一个linux组,第二列的个ALL和第三列的(ALL)就不解释了,看上面。后面这个INIT指的是INIT这个授权模板名。注意,当然也可以写成%testgroup ALL= INIT
6、如果应用多个授权模板,模板之间用逗号隔开。
