linux系统sudo命令详解
⽐如:运⾏⼀些像mount,halt,su之类的命令,或者编辑⼀些系统配置⽂件,像/etc/mtab,/etc /f等。这样以来,就不仅减少了root⽤户的登陆次数和管理时间,也提⾼了系统安全性。
⼀. sudo的特点
sudo扮演的⾓⾊注定了它要在安全⽅⾯格外谨慎,否则就会导致⾮法⽤户攫取root权限。同时,它还要兼顾易⽤性,让系统管理员能够更有效,更⽅便地使⽤它。sudo设计者的宗旨是:给⽤户尽可能少的权限但仍允许完成他们的⼯作。所以,sudo
有以下特点:
# 1. sudo能够限制指定⽤户在指定主机上运⾏某些命令。
# 2. sudo可以提供⽇志,忠实地记录每个⽤户使⽤sudo做了些什么,并且能将⽇志传到中⼼主机或者⽇志服务器。
# 3. sudo为系统管理员提供配置⽂件,允许系统管理员集中地管理⽤户的使⽤权限和使⽤的主机。它默认的存放位置
是/etc/sudoers。
# 4.sudo使⽤时间戳⽂件来完成类似“检票”的系统。当⽤户执⾏sudo并且输⼊密码后,⽤户获得了⼀张默认存活期为5分钟
的“⼊场券”(默认值可以在编译的时候改变)。超时以后,⽤户必须重新输⼊密码。
⼆. sudo命令
sudo程序本⾝就是⼀个设置了SUID位的⼆进制⽂件。我们可以检查⼀下它的权限:
linux重定向复制代码代码如下:
$ls -l /usr/bin/sudo
---s--x--x 2 root root 106832 02-12 17:41 /usr/bin/sudo
它的所有者是root,所以每个⽤户都可以像root那样执⾏该程序。设置了SUID的程序在运⾏时可以给使⽤者以所有者的EUID。这也是为什么设置了SUID的程序必须⼩⼼编写。但是设置⼀个命令⽂件的SUID和⽤sudo来运⾏它是不同的概念,它们起着不同的作⽤。
sudo的配置都记录在/etc/sudoers⽂件中,我们下⾯将会详细说明。配置⽂件指明哪些⽤户可以执⾏哪些命令。要使⽤sudo,⽤户必须提供⼀个指定⽤户名和密码。注意:sudo需要的不是⽬标⽤户的密码,⽽是执⾏sudo的⽤户的密码。如果不在sudoers中的⽤户通过sudo执⾏命令,sudo会向管理员报告这⼀事件。⽤户可以通过sudo -v来查看⾃⼰是否是在sudoers 之中。如果是,它还可以更新你的“⼊场券”上的时间;如果不是,它会提⽰你,但不会通知管理员。
sudo命令格式如下:
复制代码代码如下:
sudo -K -L -V -h -k -l -vsudo [-HPSb] [-a auth_type] [-c class-] [-p prompt] [-u username#uid] {-e file [...] -i -s command}
下⾯我们再来看⼀下sudo其它常⽤的⼀些参数:
选项含义作⽤
sudo-hHelp列出使⽤⽅法,退出。
sudo-VVersion显⽰版本信息,并退出。
sudo-lList列出当前⽤户可以执⾏的命令。只有在sudoers⾥的⽤户才能使⽤该选项。
sudo-uusername#uidUser以指定⽤户的⾝份执⾏命令。后⾯的⽤户是除root以外的,可以是⽤户名,也可以是#uid。
sudo-kKill清除“⼊场卷”上的时间,下次再使⽤sudo时要再输⼊密码。
sudo-KSurekill与-k类似,但是它还要撕毁“⼊场卷”,也就是删除时间戳⽂件。
sudo-bcommandBackground在后台执⾏指定的命令。
sudo-ppromptcommandPrompt可以更改询问密码的提⽰语,其中%u会代换为使⽤者帐号名称,%h会显⽰主机名称。⾮常⼈性化的设计。
sudo-efileEdit不是执⾏命令,⽽是修改⽂件,相当于命令sudoedit。
还有⼀些不常⽤的参数,在⼿册页sudo(8)中可以到。
三.配置sudo
配置sudo必须通过编辑/etc/sudoers⽂件,⽽且只有超级⽤户才可以修改它,还必须使⽤visudo编辑。
之所以使⽤visudo有两个原因,⼀是它能够防⽌
两个⽤户同时修改它;⼆是它也能进⾏有限的语法检查。所以,即使只有你⼀个超级⽤户,你也最好⽤visudo来检查⼀下语法。
visudo默认的是在vi⾥打开配置⽂件,⽤vi来修改⽂件。我们可以在编译时修改这个默认项。visudo不会擅⾃保存带有语法错误的配置⽂件,它会提⽰你出现的问题,并询问该如何处理,就像:
复制代码代码如下:
>>>sudoersfile:syntaxerror,line22<<
此时我们有三种选择:键⼊“e”是重新编辑,键⼊“x”是不保存退出,键⼊“Q”是退出并保存。如果真选择Q,那么sudo将不会再运⾏,直到错误被纠正。
现在,我们⼀起来看⼀下神秘的配置⽂件,学⼀下如何编写它。让我们从⼀个简单的例⼦开始:让⽤户Foobar可以通过sudo 执⾏所有root可执⾏的命令。以root⾝份⽤visudo打开配置⽂件,可以看到类似下⾯⼏⾏:
复制代码代码如下:
#Runasaliasspecification
#UserprivilegespecificationrootALL=(ALL)ALL
我们⼀看就明⽩个差不多了,root有所有权限,只要仿照现有root的例⼦就⾏,我们在下⾯加⼀⾏(最好⽤tab作为空⽩):
复制代码代码如下:
foobarALL=(ALL)ALL
保存退出后,切换到foobar⽤户,我们⽤它的⾝份执⾏命令:
复制代码代码如下:
[foobar@localhost~]$ls/root
ls:/root:权限不够
[foobar@localhost~]$sudols/root
PassWord:
anaconda-ks.cfgDesktopinstall.loginstall.log.syslog
好了,我们限制⼀下foobar的权利,不让他为所欲为。⽐如我们只想让他像root那样使⽤ls和ifconfig,把那⼀⾏改为:
复制代码代码如下:
foobarlocalhost=/sbin/ifconfig,/bin/ls
再来执⾏命令:
复制代码代码如下:
[foobar@localhost~]$sudohead-5/etc/shadow
Password:
Sorry,userfoobarisnotallowedtoexecute'/usr/bin/head-5/etc/shadow'asrootonlocalhost.localdomain.
[foobar@localhost~]$sudo/sbin/ifconfigeth0Linkencap:EthernetHWaddr00:14:85:EC:
现在让我们来看⼀下那三个ALL到底是什么意思。第⼀个ALL是指⽹络中的主机,我们后⾯把它改成了主机名,它指明foobar可以在此主机上执⾏后⾯的命令。第⼆个括号⾥的ALL是指⽬标⽤户,也就是以谁的⾝份去执⾏命令。最后⼀个
ALL当然就是指命令名了。例如,我们想让foobar⽤户在linux主机上以jimmy或rene的⾝份执⾏kill命令,这样编写配置⽂件:foobarlinux=(jimmy,rene)/bin/kill
但这还有个问题,foobar到底以jimmy还是rene的⾝份执⾏?这时我们应该想到了sudo-u了,它正是⽤在这种时候。foobar可以使⽤sudo-ujimmykillPID或者sudo-urenekillPID,但这样挺⿇烦,其实我们可以不必每次加-u,把rene或jimmy设为默认的⽬标⽤户即可。再在上⾯加⼀⾏:
Defaults:foobarrunas_default=rene
Defaults后⾯如果有冒号,是对后⾯⽤户的默认,如果没有,则是对所有⽤户的默认。就像配置⽂件中⾃带的⼀⾏:
Defaultsenv_reset
另⼀个问题是,很多时候,我们本来就登录了,每次使⽤sudo还要输⼊密码就显得烦琐了。我们可不可以不再输⼊密码呢?当然可以,我们这样修改配置⽂件:
foobarlocalhost=NOPASSWD:/bin/cat,/bin/ls
再来sudo⼀下:
复制代码代码如下:
[foobar@localhost~]$sudols/rootanaconda-ks.cfgDesktopinstall.log
install.log.syslog
当然,你也可以说“某些命令⽤户foobar不可以运⾏”,通过使⽤!操作符,但这不是⼀个好主意。因为,⽤!操作符来从ALL
中“剔出”⼀些命令⼀般是没什么效果的,⼀个⽤户完全可以把那个命令拷贝到别的地⽅,换⼀个名字后再来运⾏。
四.⽇志与安全
sudo为安全考虑得很周到,不仅可以记录⽇志,还能在有必要时向系统管理员报告。但是,sudo的⽇志功能不是⾃动的,必须由管理员开启。这样来做:
复制代码代码如下:
#toUCh/var/log/sudo
#vi/f
在f最后⾯加⼀⾏(必须⽤tab分割开)并保存:
local2.debug/var/log/sudo
重启⽇志守候进程,
psauxgrepsyslogd
把得到的syslogd进程的PID(输出的第⼆列是PID)填⼊下⾯:
kill–HUPPID
这样,sudo就可以写⽇志了:
复制代码代码如下:
[foobar@localhost~]$sudols/rootanaconda-ks.cfg
Desktopinstall.log
install.log.syslog
$cat/var/log/sudoJul2822:52:54localhostsudo:foobar:
TTY=pts/1;PWD=/home/foobar;USER=root;COMMAND=/bin/ls/root
不过,有⼀个⼩⼩的“缺陷”,sudo记录⽇志并不是很忠实:
复制代码代码如下:
[foobar@localhost~]$sudocat/etc/shadow>/dev/null
[foobar@localhost~]$
cat/var/Jul2823:10:24localhostsudo:foobar:TTY=pts/1;
PWD=/home/foobar;USER=root;COMMAND=/bin/cat/etc/shadow
重定向没有被记录在案!为什么?因为在命令运⾏之前,shell把重定向的⼯作做完了,sudo根本就没看到重定向。这也有个好处,下⾯的⼿段不会得逞:
复制代码代码如下:
[foobar@localhost~]$sudols/root>/etc/shadowbash:/etc/shadow:权限不够
sudo有⾃⼰的⽅式来保护安全。以root的⾝份执⾏sudo
-V,查看⼀下sudo的设置。因为考虑到安全问题,⼀部分环境变量并没有传递给sudo后⾯的命令,或者被检查后再传递的,⽐如:PATH,HOME,
SHELL等。当然,你也可以通过sudoers来配置这些环境变量。
如上所见,sudo对于控制和审查root的访问很有帮助,它能让系统管理员更有效,安全地管理系统。掌握sudo的正确使⽤也是对于系统管理员的良好训练。本⽂只是初步地介绍了sudo的使⽤,了解更多请参考sudoers(5)和sudo(8)⼿册页。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论