实战演练su命令与sudo服务

  • su和su-

      • 切换方式

      • 实例:

    sudo 提权

      • sudo的特色功能

      • sudo命令的常用参数

      • 注意

      • 案例1——允许zhanghe用户执行所有命令:

      • 案例2——仅允许linuxprobe用户以root用户身份执行cat命令。

      • 案例3——允许linuxprobe用户以任意身份执行命令,且每次都不需要密码验证。

su命令与sudo服务

在工作生产环境中不要去使用root用户身份,因为一旦执行了错误的命令后可能直接让系统崩溃。但因为许多的系统管理命令和服务为了安全所以只有超级用户才可以使用,因此这也无疑让普通用户受到更多的权限束缚,而su命令则是用于便捷的变更使用者的身份,能够让使用者在不注销的情况下顺畅的切换至其他用户。

切换方式

root用户切换到其他用户时无需输入密码 
普通用户再切换用户需要输入对方帐户密码才可以 
su user shell环境依然是root身份或者当前用户身份 
su – user 完全切换,shell环境变成切换过去的环境了

实例:

[root@localhost ~]# echo $PATH
/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[root@localhost ~]# su zhanghe
[zhanghe@localhost root]$ echo $PATH
/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
shell 环境变量没有切换过去
[root@localhost ~]# su - zhanghe
[zhanghe@localhost ~]$ echo $PATH
/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/zhanghe/bin
shell 环境变量切换成 zhanghe用户的环境变量了

sudo 提权

sudo服务用于给普通用户提供额外权利来完成原本超级用户才能完成的任务,格式为:“sudo [参数] 命令名称”。


虽然上面的su命令允许普通用户完全变更为root用户身份,但这也无疑会暴露了超级管理员的密码,使得系统增添很多的安全隐患,因此我们可以使用sudo程序来仅将特定命令的执行权限赋予给指定的用户,这样即可保证了正常工作的同时也避免了过度使用root身份。只要合理的配置sudo服务便可以合理的兼顾系统的安全性和用户便捷性,原则也很简单,即在保证普通用户完成工作的前提下,尽可能少的给予额外的权限。

sudo的特色功能

1:限制用户执行指定的命令。 
2:记录用户执行的每一条命令。 
3:配置文件(/etc/sudoers)提供集中的管理用户、权限与主机等参数。 
4:验证过密码后5分钟(默认值)内无须再让用户验证密码,更加的方便。

sudo命令的常用参数

参数 作用 
-h 列出帮助信息。 
-l列出当前用户可执行的命令。 
-u 用户名或UID值 以指定的用户身份执行命令。 
-k 清空安全时间,下次执行sudo时需要再次密码验证。 
-b 在后台执行指定的命令。 
-p 更改询问密码的提示语。

只用超级用户才可以使用visudo命令编辑sudo程序的配置文件(/etc/sudoers), 
visudo命令的优势: 
防止多个用户同时修改sudo配置文件。 
对sudo程序配置文件的语法检查。

注意

visudo会调用vi编辑器来修改配置文件,而如果语法有报错则会报错:

visudo: >>> /etc/sudoers: syntax error near line 111 <<<
What now?
Options are:
(e)dit sudoers file again
(x)it without saving changes to sudoers file
(Q)uit and save changes to sudoers file (DANGER!)
//此时可以敲击"e键"来修正内容,敲击"x键"直接退出不保存还可敲击"Q键"强制保存退出(sudo程序将不能被启动)。

案例1——允许zhanghe用户执行所有命令:

//使用visudo命令编辑sudo程序的配置文件,在第99行添加参数允许linuxprobe用户能够从任意主机执行任意命令的参数。
//格式为:允许使用sudo服务用户 来源主机=(以谁的身份执行命令)  可执行命令的列表
[root@localhost ~]# visudo
zhanghe ALL=(ALL) ALL
//将上面的配置文件保存退出后切换至zhanghe用户:
[root@localhost ~]# su - zhanghe
//查看zhanghe用户可以使用那些sudo执行的命令(此处验证执行用户的密码):
[zhanghe@localhost ~]$ sudo -l
[sudo] password for zhanghe:
Matching Defaults entries for zhanghe on this host:
   !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC
   KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
   env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
   LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
   _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
//告知zhanghe用户能够执行的命令有“所有”:
User zhanghe may run the following commands on this host:
   (ALL) ALL
[zhanghe@localhost ~]$ ls /root/
ls: cannot open directory /root/: Permission denied
//使用ls命令查看/root目录内的文件提示权限拒绝:
[zhanghe@localhost ~]$ sudo ls /root/
anaconda-ks.cfg  install.log  install.log.syslog
//使用sudo命令以root用户身份执行则正常浏览:

案例2——仅允许linuxprobe用户以root用户身份执行cat命令。

使用visudo命令编辑sudo程序的配置文件,将前面实验的参数删除(第99行)。然后在第112行追加允许linuxprobe用户只能以root用户身份执行cat命令的参数:

[root@localhost ~]# visudo
zhanghe ALL=(root) /bin/cat
//切换至zhanghe用户
[root@localhost ~]# su - zhanghe
[zhanghe@localhost ~]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
//使用cat命令查看密码文件后提示权限不足
[zhanghe@localhost ~]$ sudo cat /etc/shadow
root:$6$CGsqab6d$Cd.PnnWtlL5XZAyr9J2zoMqyJH1QodcDp1pQp0uZ1f0Cq4eq9.TMkSQU6IfpvYZEYc32.lmF0lKuQwavnC49a0:17007:0:99999:7:::
//使用sudo命令来运行cat命令后获得了root权限后查看成功

案例3——允许linuxprobe用户以任意身份执行命令,且每次都不需要密码验证。

使用visudo命令编辑sudo程序的配置文件,将前面实验的参数删除(第112行)后在此行追加下面的参数

[root@localhost ~]# visudo
zhanghe ALL=NOPASSWD: ALL
[root@localhost ~]# su - zhanghe
//切换至zhanghe用户
[zhanghe@localhost ~]$ sudo -k
//清空安全时间
[zhanghe@localhost ~]$ sudo ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:55:1F:A0  
         inet addr:10.1.252.97  Bcast:10.1.255.255  Mask:255.255.0.0
         inet6 addr: fe80::20c:29ff:fe55:1fa0/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:3194 errors:0 dropped:0 overruns:0 frame:0
         TX packets:759 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:282479 (275.8 KiB)  TX bytes:95037 (92.8 KiB)

lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:2 errors:0 dropped:0 overruns:0 frame:0
         TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:98 (98.0 b)  TX bytes:98 (98.0 b)
//执行sudo后不再需要密码验证

原创文章,作者:M20_he,如若转载,请注明出处:http://www.178linux.com/43427

(0)
M20_heM20_he
上一篇 2016-09-05
下一篇 2016-09-05

相关推荐

  • find—查找条件

    find—查找条件    目 录 一、根据时间戳查找: 二、根据权限查找 三、根据文件所属人owner,文件所属组group查找 四、根据搜索层级查找 五、根据文件名查找 六、根据文件类型查找    find实时查找工具,通过遍历指定路径完成文件查找 (1)工作特点: 查找速度略慢 精确查找 实时查找 可以只…

    Linux干货 2017-08-13
  • 22期第十一周课堂练习

    1、详细描述一次加密通讯的过程,结合图示最佳。 发送方:BOB                        &nbsp…

    Linux干货 2016-12-12
  • 磁盘管理之文件系统

    一,概述 文件系统是操作系统用于明确存储设备或分区上的文件的方 法和数据结构;即在存储设备上组织文件的方法。操作系统 中负责管理和存储文件信息的软件结构称为文件管理系统, 简称文件系统。  从系统角度来看,文件系统是对文件存储设备的空间进行组 织和分配,负责文件存储并对存入的文件进行保护和检索的 系统。具体地说,它负责为用户建立文件,存入、读出、修…

    Linux干货 2016-09-05
  • 计算机的组成及功能

    计算机的组成有中央处理器(包含逻辑运算器和控制器)、内存、输入设备、输出设备    逻辑运算器主要负责程序的运算和逻辑的判断、控制器是协调各组件与各单元的工作。 内存是与CPU进行沟通的桥梁,其作用是用于暂时存放CPU中的运算数据,以及与硬盘等外部存储器交换的数据。 输入设备是用户和计算机系统之间进行信息交换的主要装置之一。 输出设备是外…

    Linux干货 2017-07-02
  • find命令总结

    用途:     find命令用来在文件层级结构中搜索跟条件匹配的文件 语法:     find [OPTIONS] [查找起始路径] [查找条件] [处理动作]     查找起始路径:指定具体搜索起始路径。默认为当前目录  &nb…

    Linux干货 2016-09-19
  • 笔记–8.4 文本处理工具,正则表达式

    cat 查看文本文件 命令功能: cat主要有三大功能: 1.一次显示整个文件:cat filename 2.从键盘创建一个文件:cat > filename 只能创建新文件,不能编辑已有文件. 3.将几个文件合并为一个文件:cat file1 file2 > fil…

    Linux干货 2016-08-07