sudo命令的应用的详解指南

接触Linux的朋友应该都接触sudo这个命令，特别是刚一接触ubuntu朋友，只要进入系统执行特殊的命令都需要在命令前加+sudo命令才能执行命令，sudo到到底是个什么神器呢？sudo是个统管一切的命令。它的字面意思是代表"超级用户才能做！"（super user do!） 也可以使用 su - "switch user",但是使用su方式容易将系统用户密码泄露，导致系统不安全，由于root用户权限过大，在实际生产过程中很少使用root用户直接登录系统，而是使用普通用户登录系统；但是如果普通用户要对系统进行日常维护操作时需要su到root用户，为了提高安全性，可以使用sudo授权某一用户在某一主机以某一用户身份运行某些命令；从而减少root用户密码知晓人，提高系统安全性。

sudo的优势：
①授权指定用户在指定的主机上运行指定的管理命令；
②sudo审计安全性:将一些管理命令授权给某些普通用户使用，并且还能限定其仅能够在某些主机上执行此类的命令，操作过程还会被记录与日志中，以便于日后审计；

③"检票系统":时效性认证，用户第一次执行sudo命令时会要求输入密码来验证用户身份，成功后用户会获得一个有固定存活时长的"令牌"（令牌默认存活时长为5分钟）

sudo常用参数:

##参数    -V 显示版本编号    -h 会显示版本编号及指令的使用方式说明    -l 会显示出自己(执行sudo的使用者)的权限    -v 因为sudo在第一次执行时或是在N分钟内没有执行(N预设为五)会问密码，这个参数是重新做一次确认，如果超过N    分钟，也会问密码    -k 将会强迫使用者在下一次执行sudo时问密码(不论有没有超过N分钟)    -b 将要执行的指令放在后台后台执行

使用sudo的过程：

sudo的授权文件：/etc/sudoers,只有管理员能够编辑
1、实现sudo授权的方法
①使用vim打开编辑：
可以实现文本着色，但是不能检测语法错误，不建议使用
②visudo：专用的sudoers文本编辑工具
配置完成后能够检测提示语法错误，建议使用此编辑工具进行/etc/sudoers进行编辑
帮助文档：man visudo；man visudoers

③定义sudo授权，/etc/sudoers
语法： who which_host=(whom) command
谁能以谁的身份，在那些主机上执行那些命令

sudo配置文件别名应用:

别名：Alias(都以大写字母定义)
Host_Alias:定义主机别名，使用，分隔
User_Alias：定义用户别名，可以是用户名，也可以是组名(%组名)
Cmnd_Alias：定义命令别名，可以定义不能执行的命令，使用！/usr/bin/passwd root
Runas_Alias:定义以那些用户执行
NOPASSWD：定义用户执行命令时可以不输入密码
PASSWD：定义用户执行命令时需要输入密码

sudo案例应用:

1. 授权samlee用户拥有添加用户权限、修改密码权限，但不能修改root密码(防止用户修改root密码):
   

[root@rsyncmaster ~]# visudo samlee  ALL=(root)      /usr/sbin/useradd, /usr/bin/passwd, ! /usr/bin/passwd root

使用samlee登录测试:

[samlee@rsyncmaster ~]$ sudo useradd samleetest    #创建用户没有问题[sudo] password for samlee: [samlee@rsyncmaster ~]$ sudo passwd root           #无法修改root密码Sorry, user samlee is not allowed to execute '/usr/bin/passwd root' as root on rsyncmaster.samlee.com.[samlee@rsyncmaster ~]$ tail /etc/passwd | grep samleetest    #查看添加的用户samleetest:x:503:503::/home/samleetest:/bin/bash

2.sudo别名定义及别名调用

[root@rsyncmaster ~]# visudo User_Alias USERADMIN = samlee,%adminHost_Alias HOST = 172.16.0.0/16,127.0.0.1Runas_Alias ADMIN = rootCmnd_Alias COMMAND = /sbin/ifconfig,/bin/pingUSERADMIN       HOST=(ADMIN)    COMMAND

测试；samlee用户登录测试指定的相关命令：

#建立测试用户及测试组[root@rsyncmaster ~]# groupadd admin[root@rsyncmaster ~]# useradd -g admin admin[root@rsyncmaster ~]# passwd admin#使用samlee用户测试:[samlee@rsyncmaster ~]$ sudo ifconfigeth0      Link encap:Ethernet  HWaddr 00:0C:29:D3:E4:53            inet addr:172.16.100.7  Bcast:172.16.255.255  Mask:255.255.0.0          inet6 addr: fe80::20c:29ff:fed3:e453/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:61839 errors:0 dropped:0 overruns:0 frame:0          TX packets:60930 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000           RX bytes:6300546 (6.0 MiB)  TX bytes:11935948 (11.3 MiB)lo        Link encap:Local Loopback            inet addr:127.0.0.1  Mask:255.0.0.0          inet6 addr: ::1/128 Scope:Host          UP LOOPBACK RUNNING  MTU:16436  Metric:1          RX packets:4 errors:0 dropped:0 overruns:0 frame:0          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0           RX bytes:240 (240.0 b)  TX bytes:240 (240.0 b)#使用admin组用户测试:[admin@rsyncmaster ~]$ sudo ifconfigeth0      Link encap:Ethernet  HWaddr 00:0C:29:D3:E4:53            inet addr:172.16.100.7  Bcast:172.16.255.255  Mask:255.255.0.0          inet6 addr: fe80::20c:29ff:fed3:e453/64 Scope:Link          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1          RX packets:62130 errors:0 dropped:0 overruns:0 frame:0          TX packets:61216 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:1000           RX bytes:6324018 (6.0 MiB)  TX bytes:11965210 (11.4 MiB)lo        Link encap:Local Loopback            inet addr:127.0.0.1  Mask:255.0.0.0          inet6 addr: ::1/128 Scope:Host          UP LOOPBACK RUNNING  MTU:16436  Metric:1          RX packets:4 errors:0 dropped:0 overruns:0 frame:0          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0          collisions:0 txqueuelen:0           RX bytes:240 (240.0 b)  TX bytes:240 (240.0 b)