Shell命令-用户用户组管理之visudo、sudo

时间:2022-10-12 09:34:51

文件及内容处理 - visudo、sudo

1. visudo:编辑/etc/sudoers文件的专属命令

visudo命令的功能说明

visudo命令专门用来编辑/etc/sudoers这个文件的。

visudo命令的语法格式

visudo [-chqsV] [-f sudoers]

visudo命令的常用参数说明:

visudo 参数不多,表1为 visudo 命令的参数及说明:

表1: visudo 命令的参数及说明

参数选项 解释说明
-c 手动执行语法检查

visudo命令的实践操作

范例1: 执行 visudo 对普通用户oldboy和oldgirl授权

[root@oldboyedu  ~]# visudo #作用就是相当于 vim /etc/sudoers 一样
100 root    ALL=(ALL)       ALL
101 oldboy  ALL=(ALL)      NOPASSWD: ALL  #在100行左右添加     
102 oldgirl ALL=(ALL)      NOPASSWD: /usr/bin/useradd,/usr/bin/userdel #添加的内容

上面的格式简单介绍

待授权的用户或组 机器=(授权角色) 可以执行的命令
user MACHINE= COMMANDS
oldboy ALL=(ALL) ALL

提示:每次执行visudo并修改内容后,需要语法检查:

[root@oldboyedu  ~]# visudo -c
/etc/sudoers: parsed OK

2. sudo:以另外一个用户身份(默认root用户)执行事先在sudoers文件允许的命令

sudo命令的功能说明

sudo 命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。使用权限:在 /etc/sudoers 中有出现的使用者。

sudo命令的语法格式

sudo -l [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
sudo -v [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-u user]

sudo命令的常用参数说明:

sudo 参数不多,表1为 sudo 命令的参数及说明:

表1: sudo 命令的参数及说明

参数选项 解释说明
-V 显示版本编号
-h 会显示版本编号及指令的使用方式说明
-l 显示出自己(执行 sudo 的使用者)的权限
-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行(N 预设为五)会问密码,这个参数是重新做一次确认,如果超过 N 分钟,也会问密码
-k 将会强迫使用者在下一次执行 sudo 时问密码(不论有没有超过 N 分钟)
-b 将要执行的指令放在背景执行
-p prompt 可以更改问密码的提示语,其中 %u 会代换为使用者的帐号名称, %h 会显示主机名称
-u username/#uid 不加此参数,代表要以 root 的身份执行指令,而加了此参数,可以以 username 的身份执行指令(#uid 为该 username 的使用者号码)
-s 执行环境变数中的 SHELL 所指定的 shell ,或是 /etc/passwd 里所指定的 shell
-H 将环境变数中的 HOME (家目录)指定为要变更身份的使用者家目录(如不加 -u 参数就是系统管理者 root )
command 要以系统管理者身份(或以 -u 更改为其他人)执行的指令

sudo命令的实践操作

范例1: 查看用户被visudo 授权后拥有的权限

[root@db01 ~]# whoami #查看当前用户
root
[root@db01 ~]# su - oldboy #切换 oldboy 用户
上一次登录:三 6月 12 10:13:34 CST 2019从 10.0.0.1pts/0 上
[oldboy@db01 ~]$ whoami #用户已改变
oldboy
[oldboy@db01 ~]$ ls /root #查看 root 用户家目录,权限不够
ls: 无法打开目录/root: 权限不够
[oldboy@db01 ~]$ sudo ls /root #加 sudo 就 ok 了,是因为前面已经配置了 visudo
test

范例2: 查看oldboy 用户授权的结果情况:

[oldboy@db01 ~]$ sudo -l
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR
    LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 oldboy 可以在 db01 上运行以下命令:
    (ALL) NOPASSWD: ALL #ALL 代表所有,相当于与 root 相同权限了

今天就写到这里,有什么疑问或出现什么错误,随时欢迎大神们发表评论指点迷津