Linux操作系統中sudoers文件解析

2015-10-07 20:20 作者：admin 瀏覽量：

　　Sudo是允許系統管理員讓普通用戶執行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登陸 和管理時間，同樣也提高了安全性。Sudo不是對shell的一個代替，它是面向每個命令的。它的特性主要有這樣幾點：

　　§ Sudo能夠限制用戶只在某臺主機上運行某些命令。（網絡維護管理外包）

　　§ Sudo提供了豐富的日志，詳細地記錄了每個用戶干了什么。它能夠將日志傳到中心主機或者日志服務器。

　　§ Sudo使用時間戳文件來執行類似的“檢票”系統。當用戶調用sudo并且輸入它的密碼時，用戶獲得了一張存活期為5分鐘的票(這個值可以在編譯的時候改變)。

　　§ Sudo的配置文件是sudoers文件，它允許系統管理員集中的管理用戶的使用權限和使用的主機。它所存放的位置默認是在/etc/sudoers，屬性必須為0411。

　　編輯配置文件命令:visudo

　　默認配置文件位置:/etc/sudoers

　　[root@localhost ~]# cat /etc/sudoers

　　# sudoers file.

　　#

　　# This file MUST be edited with the 'visudo' command as root.

　　#

　　# See the sudoers man page for the details on how to write a sudoers file.

　　#

　　# Host alias specification

　　# User alias specification

　　# Cmnd alias specification

　　# Defaults specification

　　# Runas alias specification

　　# User privilege specification

　　root ALL=(ALL) ALL

　　# Uncomment to allow people in group wheel to run all commands

　　# %wheel ALL=(ALL) ALL

　　# Same thing without a password

　　# %wheel ALL=(ALL) NOPASSWD: ALL

　　# Samples

　　# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom

　　# %users localhost=/sbin/shutdown -h now

　　[root@localhost ~]#

　　可以用visudo編輯sudoers配置文件，不過也可以直接通過修改sudoers文件實現，不過編輯之前最好看一下它的sample.sudoers文件，里面有一個相當詳細的例子可以參考。

　　#第一部分：用戶定義，將用戶分為FULLTIMERS、PARTTIMERS和WEBMASTERS三類。（it外包）

　　User_Alias FULLTIMERS = millert, mikef, dowdy

　　User_Alias PARTTIMERS = bostley, jwfox, crawl

　　User_Alias WEBMASTERS = will, wendy, wim

　　#第二部分，將操作類型分類。

　　Runas_Alias OP = root, operator

　　Runas_Alias DB = oracle, sybase

　　#第三部分，將主機分類。這些都是隨便分得，目的是為了更好地管理。

　　Host_Alias SPARC = bigtime, eclipse, moet, anchor :\

　　SGI = grolsch, dandelion, black :\

　　ALPHA = widget, thalamus, foobar :\

　　HPPA = boa, nag, python

　　Host_Alias CUNETS = 128.138.0.0/255.255.0.0

　　Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0

　　Host_Alias SERVERS = master, mail, www, ns

　　Host_Alias CDROM = orion, perseus, hercules

　　#第四部分，定義命令和命令地路徑。命令一定要使用絕對路徑，避免其他目錄的同名命令被執行，造成安全隱患 ,因此使用的時候也是使用絕對路徑!

　　Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\

　　/usr/sbin/restore, /usr/sbin/rrestore

　　Cmnd_Alias KILL = /usr/bin/kill

　　Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm

　　Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown

　　Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt

　　Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot

　　Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \

　　/usr/local/bin/tcsh, /usr/bin/rsh, \

　　/usr/local/bin/zsh

　　Cmnd_Alias SU = /usr/bin/su

　　# 這里是針對不同的用戶采用不同地策略，比如默認所有的syslog直接通過auth 輸出。FULLTIMERS組不用看到lecture(第一次運行時產生的消息);用戶millert使用sudo時不用輸入密碼;以及logfile的 路徑在/var/log/sudo.log而且每一行日志中必須包括年。

　　Defaults syslog=auth

　　Defaults:FULLTIMERS !lecture

　　Defaults:millert !authenticate

　　Defaults@SERVERS log_year, logfile=/var/log/sudo.log

　　#root和wheel組的成員擁有任何權利。 如果想對一組用戶進行定義，可以在組名前加上%，對其進行設置.

　　root ALL = (ALL) ALL

　　%wheel ALL = (ALL) ALL

　　#FULLTIMERS可以運行任何命令在任何主機而不用輸入自己的密碼

　　FULLTIMERS ALL = NOPASSWD: ALL

　　#PARTTIMERS可以運行任何命令在任何主機，但是必須先驗證自己的密碼。

　　PARTTIMERS ALL = ALL

　　#jack可以運行任何命令在定義地CSNET(128.138.243.0, 128.138.242.0和128.138.204.0/24的子網)中，不過注意前兩個不需要匹配子網掩碼，而后一個必須匹配掩碼。

　　jack CSNETS = ALL

　　#lisa可以運行任何命令在定義為CUNETS(128.138.0.0)的子網中主機上。（服務器設備維護）

　　lisa CUNETS = ALL

　　#用戶operator可以運行DUMPS,KILL,PRINTING,SHUTDOWN,HALT,REBOOT以及在/usr/oper/bin中的所有命令。

　　operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\

　　/usr/oper/bin/

　　#joe可以運行su operator命令

　　joe ALL = /usr/bin/su operator

　　#pete可以為除root之外地用戶修改密碼。

　　pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root

　　#bob可以在SPARC和SGI機器上和OP用戶組中的root和operator一樣運行如何命令。

　　bob SPARC = (OP) ALL : SGI = (OP) ALL

　　#jim可以運行任何命令在biglab網絡組中。Sudo默認“+”是一個網絡組地前綴。

　　jim +biglab = ALL

　　#在secretaries中地用戶幫助管理打印機，并且可以運行adduser和rmuser命令。

　　+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser

　　#fred能夠直接運行oracle或者sybase數據庫。

　　fred ALL = (DB) NOPASSWD: ALL

　　#john可以在ALPHA機器上，su除了root之外地所有人。

　　john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*

　　#jen可以在除了SERVERS主機組的機器上運行任何命令。

　　jen ALL, !SERVERS = ALL

　　#jill可以在SERVERS上運行/usr/bin/中的除了su和shell命令之外的所有命令。

　　jill SERVERS = /usr/bin/, !SU, !SHELLS

　　#steve可以作為普通用戶運行在CSNETS主機上的/usr/local/op_commands/內的任何命令。

　　steve CSNETS = (operator) /usr/local/op_commands/

　　#matt可以在他的個人工作站上運行kill命令。

　　matt valkyrie = KILL

　　#WEBMASTERS用戶組中的用戶可以以www的用戶名運行任何命令或者可以su www。

　　WEBMASTERS www = (www) ALL, (root) /usr/bin/su www

　　#任何用戶可以mount或者umount一個cd-rom在CDROM主機上，而不用輸入密碼。

　　ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\

　　/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM

　　三,使用

　　指令名稱：sudo

　　使用權限：在 /etc/sudoers 中有出現的使用者

　　使用方式：sudo -V

　　sudo -h

　　sudo -l

　　sudo -v

　　sudo -k

　　sudo -s

　　sudo -H

　　sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s

　　用法:sudo command

　　說明：以系統管理者的身份執行指令，也就是說，經由 sudo 所執行的指令就好像是 root 親自執行

　　參數：

　　-V 顯示版本編號

　　-h 會顯示版本編號及指令的使用方式說明

　　-l 顯示出自己(執行 sudo 的使用者)的權限

　　-v 因為 sudo 在第一次執行時或是在 N 分鐘內沒有執行(N 預設為五)會問密碼，這個參數是重新做一次確認，如果超過 N 分鐘，也會問密碼

　　-k 將會強迫使用者在下一次執行 sudo 時問密碼(不論有沒有超過 N 分鐘)

　　-b 將要執行的指令放在背景執行

　　-p prompt 可以更改問密碼的提示語，其中 %u 會代換為使用者的帳號名稱， %h 會顯示主機名稱

　　-u username/#uid 不加此參數，代表要以 root 的身份執行指令，而加了此參數，可以以 username 的身份執行指令(#uid 為該 username 的使用者號碼)

　　-s 執行環境變數中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell

　　-H 將環境變數中的 HOME (家目錄)指定為要變更身份的使用者家目錄(如不加 -u 參數就是系統管理者 root )

　　command 要以系統管理者身份(或以 -u 更改為其他人)執行的指令

　　范例：

　　sudo -l 列出目前的權限

　　sudo -V 列出 sudo 的版本資訊

　　指令名稱:sudoers(在fc5下顯示不能找到此命令，但用man可以查到其用法。)

　　用來顯示可以使用sudo的用戶

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.whgoodly.com