互联网安全之sudo使用指南

一、前言

sudo是什么?

sudo是系统管理指令;由于root用户权限过大,在实际生产过程中很少使用root用户直接登录系统,而是使用普通用户登录系统;但是如果普通用户要对系统进行日常维护操作时需要su到root用户,为了提高安全性,可以使用sudo授权某一用户在某一主机以某一用户身份运行某些命令;从而减少root用户密码知晓人,提高系统安全性。

 

sudo的优势:

①授权指定用户在指定的主机上运行指定的管理命令;

②详细记录用户基于sudo执行的命令相关的日志信息;

③”检票系统”:时效性认证,用户第一次执行sudo命令时会要求输入密码来验证用户身份,成功后用户会获得一个有固定存活时长的”令牌”(令牌默认存活时长为5分钟)

 

 

二、sudo相关参数

sudo的授权文件:/etc/sudoers,只有管理员能够编辑

1、实现sudo授权的方法

①使用vim打开编辑:

可以实现文本着色,但是不能检测语法错误,不建议使用

②visudo:专用的sudoers文本编辑工具

配置完成后能够检测提示语法错误,建议使用此编辑工具进行/etc/sudoers进行编辑

帮助文档:man visudo;man visudoers

 

2、sudo授权格式:授权某用户在某主机上以某用户的身份运行指定的管理命令

WHO     HOST=(WHOM)     COMMAND

1.png

别名定义:别名必须使用全大写字符

WHO别名定义:

User_Alias   NAME = item1,item2,item3,….

item:可以是用户名,%组名,#UID,$#GID,User_Alias

HOST别名定义:

Host_Alias  NAME = item1,item2,item3,….

item:可以是hostname,ip,network,Host_Alias

WHOM别名定义:

Runas_Alias  NAME = item1,item2,item3,….

item:可以是用户名,%组名,#UID,$#GID,User_Alias

COMMANDb别名定义:

Cmnd_Alias  NAME = item1,item2,item3,…..

item:可以是命令,目录(目录下的所有命令),”sudoedit”,Cmnd_Alias

 

3、常用的标签

PASSWD: 执行操作时,需要输入密码,来验证用户身份

NOPASSWD: 执行操作时,无需输入密码,不能确定用户身份

 

4、sudo常用的命令参数

-l: 查看当前用户可执行的sudo命令

-k:清除”令牌”

-b COMMAND:在后台运行指定的命令COMMAND

-e /path/to/somefile: 修改指定的文件

-u USERNAME COMMAND: 以指定用户的身份运行指定的命令COMMAND

 

 

三、配置举例

1、授权cnetos用户具有添加用户的权限

2.png

使用centos用户登录测试:      3.png

2、别名定义以及调用

4.png

测试;centos用户登录测试指定的相关命令: 5.png

6.png 7.png

3、防止授权用户修改密码修改root用户的密码 8.png

 

原创文章,作者:马行空,如若转载,请注明出处:http://www.178linux.com/5302

(3)
马行空马行空
上一篇 2015-06-23
下一篇 2015-06-23

相关推荐

  • php-fpm

    1.安装 mariadb 服务 修改配置文件 2.musql 安全加强 3.安装 php-fpm php-mysql php-mbstring php-mcrypt 服务 修改配置文件 4.安装httpd服务 加虚拟主机配置文件 5.测试php网页 6.安装myadmin包及测试

    2017-06-04
  • DHCP

    DHCP DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。 DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动…

    Linux干货 2016-11-07
  • bash脚本进阶

    case  变量引用  in PAT1)分支1 ;; PAT2)  分支2 ;; … *) 分支n ;; esac case支持glob风格的通配符:   *:任意长度任意字符: ?:任意单个字符: [ ]:指定范围内的任意单个字符: a|b:a或b function:函数   &nbs…

    Linux干货 2017-05-21
  • N25 – 第二周博客作业

      Linux上的文件管理类命令有哪些,其常用的使用方法及相关示例演示 more: more命令非常简单,只用more file即可,但是more命令有一个特点,就是翻屏至文件尾部后自动退出 less: less命令就是在使用man时是一样的,因为man手册就是调用less来查看的  head: head命令用来查看文件的前#行,#默认为…

    Linux干货 2016-12-07
  • RHEL6.9换源记

    RHEL是提供给企业使用的,虽然我们在网络上也能下载到它的镜像,但是我们无法使用它的服务。最近由于系统比较卡,重装了一次系统,装完之后,我用VMware Workstation Pro 12 加载了之前的RHEL 6.9-000002.vmdk文件之后居然发现不能挂载CD/DVD,这就不能愉快的玩了。在VMware的设置里折腾好久也没能搞定,光盘安装RPM包…

    2017-07-20
  • vim学习

    vim学习 认识与介绍   vim是一款linux下查看编辑文本文件的一款文本编辑器。一般用来查看修改配置文件、日志文件等文本类文件。 打开文件   vim [OPTIONS] [FILE …]     +#: 打开文件后,直接让文件处于第#行     +/…

    Linux干货 2016-10-09