|
Sudo是Unix/Linux平臺上的一個非常有用的工具�,它允許系統(tǒng)管理員分配給普通用戶一些合理的“權(quán)利”,讓他們執(zhí)行一些只有超級用戶或其他特許用戶才能完成的任務(wù)�����,比如:運行一些像mount����,halt,su之類的命令�,或者編輯一些系統(tǒng)配置文件,像/etc/mtab���, /etc/samba/smb.conf等��。這樣以來����,就不僅減少了root用戶的登陸次數(shù)和管理時間�,也提高了系統(tǒng)安全性。 一��、sudo的特點
sudo扮演的角色注定了它要在安全方面格外謹(jǐn)慎,否則就會導(dǎo)致非法用戶攫取root權(quán)限����。同時,它還要兼顧易用性�����,讓系統(tǒng)管理員能夠更有效�,更方便地使用它。sudo設(shè)計者的宗旨是:給用戶盡可能少的權(quán)限但仍允許完成他們的工作��。所以�,sudo有以下特點: 1��、sudo能夠限制指定用戶在指定主機上運行某些命令�。
2、sudo可以提供日志��,忠實地記錄每個用戶使用sudo做了些什么��,并且能將日志傳到中心主機或者日志服務(wù)器�。 3、sudo為系統(tǒng)管理員提供配置文件��,允許系統(tǒng)管理員集中地管理用戶的使用權(quán)限和使用的主機。它默認(rèn)的存放位置是/etc/sudoers�。 4、sudo使用時間戳文件來完成類似“檢票”的系統(tǒng)���。當(dāng)用戶執(zhí)行sudo并且輸入密碼后����,用戶獲得了一張默認(rèn)存活期為5分鐘的“入場券”(默認(rèn)值可以在編譯的時候改變)�。超時以后,用戶必須重新輸入密碼��。 二�����、sudo命令
1����、sudo條目語法如下: whowhich_hosts=(runas) TAG:command hadoop ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel
注釋:hadoop用戶可以在任何地點以管理的身份執(zhí)行命令useradd(無需密碼)和usermod(需要密碼) 2、關(guān)于別名(宏) 此外sudo還支持別名的定義���,我們通過引用定義好的別名可以提供工作效率: who User_Alias which_hosts Host_Alias runas Runas_Alias command Cmnd_Alias | User_Alias | Host_Alias | Runas_Alias | Cmnd_Alias | | 用戶名 | 主機名 | 用戶名 | 命令路徑 | | 組名(%) | IP地址 | 組名(%) | 目錄 | | User別名 | 網(wǎng)絡(luò)地址 | Runas別名 | Cmnd別名 |
| host別名 |
|
|
3�、使用visudo來編輯配置文件(/etc/sudoers) 雖然我們可以使用vim直接來編輯sudo的配置文件��,但sudo提供了更加智能的編輯命令visudo,它能在編輯配置文件的同時幫我們檢查語法錯誤��,并在錯誤時提供快捷的返回功能�����,如圖: 
4�、visudo常用選項
查看當(dāng)前用戶可以使用所有sudo類的命令可以使用 -l 選項,如圖: 
由于sudo默認(rèn)密碼刷新時間為5分鐘���,如果剛好用戶輸入密碼執(zhí)行命令之后因其他原因離開計算機��,其他用戶在5分鐘之后執(zhí)行相同的命令依然有效���,如圖: 
為了防止這種情況的發(fā)生,可以使用 -k 選項�,如圖:  5����、sudo的日志審計
為了能夠明確的追究責(zé)任,sudo還提供了人性化的日志功能��,在/var/log/secure日志文件中可以查看到�,用于記錄所有sudo類用戶的所有動作���,如圖: 
日志文件的安全性
三、基本實例用法
1��、hadoop用戶可以在任何地點以管理員的身份執(zhí)行命令useradd(無需密碼)和usermod(需要密碼)���。 使用visudo命令在配置文件末尾添加如下內(nèi)容:
1 | hadoop ALL=(root) NOPASSWD:/usr/sbin/useradd, PASSWD:/usr/sbin/userdel
|
切換至hadoop用戶測試結(jié)果: 
2��、hadoop用戶和組可以在任何地點以管理員的身份執(zhí)行命令執(zhí)行增���、刪、改����、設(shè)置用戶名密碼,但不允許設(shè)置管理員的密碼�����。 使用visudo命令在配置文件末尾添加如下內(nèi)容: 1 2 3 | User_Alias USERADMIN = hadoop, %hadoop
Cmnd_Alias USERADMINCMND = /usr/sbin/useradd, /usr/sbin/usermod, /usr/sbin/userdel, /usr/bin/passwd [A-Za-z]*, ! /usr/bin/passwd root
USERADMIN ALL=(root) NOPASSWD: USERADMINCMND
|
3�����、hadoop用戶只能在192.168.1.120主機遠(yuǎn)程登錄并以管理員身份執(zhí)行ifconfig eth0命令����。 使用visudo命令在配置文件末尾添加如下內(nèi)容:
1 2 | Cmnd_Alias NETCMND = /sbin/ifconfig eth0
hadoop 192.168.1.120 = (root) NOPASSWD:NETCMND
|
使用192.168.1.104測試����,如圖: 
使用192.168.1.120測試���,如圖: 
4�、hadoop用戶可以在任何地點以任何的身份執(zhí)行所有命令����,等同于root。 使用visudo命令在配置文件末尾添加如下內(nèi)容: 
本文出自 “星矢” 博客�����,轉(zhuǎn)載請與作者聯(lián)系�!
|
