互联网安全之sudo使用指南

一、前言

sudo是什么?

sudo是系统管理指令;由于root用户权限过大,在实际生产过程中很少使用root用户直接登录系统,而是使用普通用户登录系统;但是如果普通用户要对系统进行日常维护操作时需要su到root用户,为了提高安全性,可以使用sudo授权某一用户在某一主机以某一用户身份运行某些命令;从而减少root用户密码知晓人,提高系统安全性。

 

sudo的优势:

①授权指定用户在指定的主机上运行指定的管理命令;

②详细记录用户基于sudo执行的命令相关的日志信息;

③”检票系统”:时效性认证,用户第一次执行sudo命令时会要求输入密码来验证用户身份,成功后用户会获得一个有固定存活时长的”令牌”(令牌默认存活时长为5分钟)

 

 

二、sudo相关参数

sudo的授权文件:/etc/sudoers,只有管理员能够编辑

1、实现sudo授权的方法

①使用vim打开编辑:

可以实现文本着色,但是不能检测语法错误,不建议使用

②visudo:专用的sudoers文本编辑工具

配置完成后能够检测提示语法错误,建议使用此编辑工具进行/etc/sudoers进行编辑

帮助文档:man visudo;man visudoers

 

2、sudo授权格式:授权某用户在某主机上以某用户的身份运行指定的管理命令

WHO     HOST=(WHOM)     COMMAND

1.png

别名定义:别名必须使用全大写字符

WHO别名定义:

User_Alias   NAME = item1,item2,item3,….

item:可以是用户名,%组名,#UID,$#GID,User_Alias

HOST别名定义:

Host_Alias  NAME = item1,item2,item3,….

item:可以是hostname,ip,network,Host_Alias

WHOM别名定义:

Runas_Alias  NAME = item1,item2,item3,….

item:可以是用户名,%组名,#UID,$#GID,User_Alias

COMMANDb别名定义:

Cmnd_Alias  NAME = item1,item2,item3,…..

item:可以是命令,目录(目录下的所有命令),”sudoedit”,Cmnd_Alias

 

3、常用的标签

PASSWD: 执行操作时,需要输入密码,来验证用户身份

NOPASSWD: 执行操作时,无需输入密码,不能确定用户身份

 

4、sudo常用的命令参数

-l: 查看当前用户可执行的sudo命令

-k:清除”令牌”

-b COMMAND:在后台运行指定的命令COMMAND

-e /path/to/somefile: 修改指定的文件

-u USERNAME COMMAND: 以指定用户的身份运行指定的命令COMMAND

 

 

三、配置举例

1、授权cnetos用户具有添加用户的权限

2.png

使用centos用户登录测试:      3.png

2、别名定义以及调用

4.png

测试;centos用户登录测试指定的相关命令: 5.png

6.png 7.png

3、防止授权用户修改密码修改root用户的密码 8.png

 

原创文章,作者:马行空,如若转载,请注明出处:http://www.178linux.com/5302

(3)
上一篇 2015-06-23 09:55
下一篇 2015-06-23 10:01

相关推荐

  • bash脚本编程之算术运算和文件查找

    算数运算在每个编程语言里面是最基本的功能,在bash里面也是.相对于其他编程语言来说在bash里面不能直接以变量加上变量的形式来表现;比如我们先声明两个变量num1和num2然后再做运算。 num1=2 num2=3 echo "$num1+$num2" 2+3 这里我们显示的结果直接为2+3只是做了变量的替换,而不是做两个变量…

    Linux干货 2016-12-23
  • LVS产生背景、原理及LVS-DR应用实例(二)

    六、LVS-DR应用实例          (一)基本构建思路:           Director: 通过Director实现访问调度到RS1,RS2,实现负载均衡,RS3负责动态分离。…

    Linux干货 2016-10-29
  • 招聘Linux运维工程师

    岗位职责: 公司集群硬件的日常维护及管理 负责公司内网的服务器安装,部署和维护 监控服务器状态,发现问题并及时维护 负责产品发布上线 承担mangoDB的日常巡检 集群数据服务器的备份 编写服务器维护脚本,减少工作量,提高工作效率 任职要求: 1年以上Linux系统管理经验,精通Linux的管理和维护 能够熟练编排查运维过程中出现的服务故障,系统故障,网络故…

    Linux干货 2017-12-04
  • 搭建个人博客&论坛(LAMP):wordpress、discuz、phpMyAdmin

    搭建个人博客&论坛(LAMP):wordpress、discuz、phpMyAdmin 一、快速部署LAMP架构平台 1.CentOS 6系统部署 所需安装包:httpd, php, mysql-server, php-mysql ]# yum install -y  httpd php&n…

    Linux干货 2016-10-17
  • 磁盘运作方式及分区,挂载等操作

    磁盘运作方式及分区,挂载等操作 磁盘是我们存储数据的空间,而为了方便我们对数据的管理,我们需要对磁盘进行分区。而在我们创建过分区之后 ,我们为了能 够访问磁盘 ,需要对磁盘进行挂载 。文件系统通过为每个文件在分区上分配文件块的方式把数据存储在硬盘上。所以,就是使用文件系统在 硬盘分区上对数据块的各种信息的操作。这样就需要我们了解磁盘的运作方式,学会磁盘的分区…

    Linux干货 2016-08-29
  • 第十周作业

    1、请详细描述CentOS系统的启动流程(详细到每个过程系统做了哪些事情) 2、为运行于虚拟机上的CentOS 6添加一块新硬件,提供两个主分区;   (1) 为硬盘新建两个主分区;并为其安装grub; #创建两个分区,/dev/sdb1为500M,/dev/sdb2为5G [root@centos6 mnt]# fdisk -l /dev/sdb…

    2017-03-12