sudo命令使用的几个场景

在linux系统下,普通用户无法直接执行root用户权限下的命令,如果想让普通用户执行只有root用户才能执行的操作命令。 下面罗列下经常使用sudo命令的几个场景:

1.用户无权限执行root命令 普通用户登录 shell 之后,如果自身没有权限访问某个文件或执行某个命令时,若该用户获得root授权,那么就可以在需要执行的命令之前加上 sudo,临时切换到root用户的权限,完成相关的操作。在sudo于1980年前后被写出之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码,而sudo使一般用户不需要知道超级用户的密码即可获得权限。

那么哪些用户可以临时获得root权限呢?这就需要在/etc/sudoers文件中进行配置(或者直接使用visudo命令,不过只能在root用户下执行): (1)授权给单个用户: [root@test-huanqiu ~]# visudo ..... # User privilege specification wangshibo ALL=(ALL) ALL 参数解释: 1)第一个字段wangshibo指定的是用户:可以是用户名,也可以是别名。每个用户设置一行,多个用户设置多行,也可以将多个用户设置成一个别名后再进行设置。 2)第二个字段ALL指定的是用户所在的主机:可以是ip,也可以是主机名,表示这个sudo设置后的文件即/etc/sudoers只在这个主机上生效,ALL表示在所有主机上都生效!限制的一般都是本机,也就是限制使用这个文件的主机;如果指定为"192.168.1.88="表示这个文件只有在这台主机上生效,如果拷贝到别的机子上是不起作用的!一般都指定为"ALL"表示所有的主机,不管文件拷到那里都可以用。 3)第三个字段(ALL)括号里指定的也是用户:指定以什么用户身份执行sudo,即使用sudo后可以享有所有账号下的权限。如果要排除个别用户,可以在括号内设置,比如ALL=(ALL,!root,!ops)。也可以设置别名 4)第四个字段ALL指定的是执行的命令:即使用sudo后可以执行所有的命令。也可以设置别名。NOPASSWD: ALL表示使用sudo的不需要输入密码。

如果我们想让用户wangshibo只能在本主机(主机名为test-huanqiu)以root账户执行/bin/chown、/bin/chmod 两条命令,那么就应该这样配置: [root@test-huanqiu ~]# visudo ....... # User privilege specification wangshibo test-huanqiu=(root) /bin/chown,/bin/chmod 如果wangshibo用户登录之后运行sudo命令,不满足上面三个条件命令均失败。

(2)授权给用户组: [root@test-huanqiu ~]# visudo ..... # Allow members of group sudo to execute any command # (Note that later entries override this, so you might need to move it further down) %sudo ALL=(ALL) ALL 和授权给单个用户类似,只不过将用户名在这里换成%组名,所有在该组中的用户都按照此规则进行授权。对于该例,所有在 sudo 组内的用户都有在任何终端(第一个ALL)、以任何用户(第二个ALL)、执行任何命令(第三个ALL)的权限,查看 /etc/group 文件可以知道哪些用户属于 sudo 组。

实例说明: 如果当前帐号在/etc/sudoers文件中被授予sudo的权限,那么你就可以将任何root命令作为sudo 命令的参数,使用root权限来执行该命令。

比如挂载一个文件系统只能由root来执行,但是一个普通用户也可以使用sudo来挂载: [wangshibo@test-huanqiu ~]$ sudo mount /dev/sda7 /mnt [sudo] password for wangshibo: 首次使用会要求你输入当前用户的密码,系统确实输入正确即以 root 权限来执行 mount 命令,接下来一段时间(默认为5分钟)再次使用 sudo 命令就不需要输密码了。

2.vim编辑后发现忘记使用sudo 有时经常会遇到这样的一个囧境: 使用vim对某个文件进行编辑,编辑完之后,按 ESC 之后回到普通模式,再按:wq准备保存退出时,发现没有权限对该文件进行修改,因为在使用vim 命令时忘记在前面加sudo了。出现这种问题,大多数人的做法是只能不保存强退,再加上 sudo 重新编辑。

其实大可不必这么愚蠢的做法了,巧妙的做法是: 在vim的普通模式下,按 :w !sudo tee % ,这样就可以 root 权限来保存文件了,你也无需因为自己一时忘记加个 sudo 而沮丧懊恼了!

实例说明: 使用guohuihui用户在/tmp目录下创建了一个文件,默认情况下,wangshibo用户对这个文件是没有操作权限的 [root@ops-server4 ~]# su - guohuihui [guohuihui@ops-server4 ~]$ vim /tmp/guohuihui [guohuihui@ops-server4 ~]$ cat /tmp/guohuihui sdfasdfsd

现在给wangshibo用户设置了sudo权限,编辑上面文件时,忘了在命令前面加sudo命令了 [wangshibo@ops-server4 ~]$ vim /tmp/guohuihui 编辑完,直接输入w保存时,会报错说没有权限: "/tmp/guohuihui" "/tmp/guohuihui" E212: Can't open file for writing Press ENTER or type command to continue

这个时候可以按:w !sudo tee %就可以正常保存了。轻松搞定!!效果如下: :w !sudo tee %  //回车 sdfasdfsd 12345666

W12: Warning: File "/tmp/guohuihui" has changed and the buffer was changed in Vim as well See ":help W12" for more info. [O]K, (L)oad File:

这个时候回车,然后再输入q退出,查看发现刚才输入的内容已经保存下来了: [wangshibo@ops-server4 ~]$ cat /tmp/guohuihui sdfasdfsd 12345666

3.执行root 命令忘记加sudo 还会遇到这样稍微好一点的情形:输入一个长长的命令,按Enter之后出现无权限操作,因为在命令前面忘记加sudo了。 大多人的做法是按 ↑ 回到上一条命令,在该命令之前加上sudo,再执行该命令。

其实,也大可不必这样,巧妙的做法是: 只要输入 sudo !! 即可,这里的 !! 代表上一条命令。如:

实例说明: [wangshibo@ops-server4 ~]$ cat /etc/sudoers|tail -3 cat: /etc/sudoers: Permission denied [wangshibo@ops-server4 ~]$ sudo !! sudo cat /etc/sudoers|tail -3

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment) #includedir /etc/sudoers.d

---------------------------------------------------------- 在linux终端下: 输入!! 表示上一个命令 输入Esc+.(符号点) 表示上一个命令中的最后一部分 cd - 表示切换到上一个路径下 cd和cd ~ 表示切换到当前用户家目录下 ----------------------------------------------------------

4.shell内置命令使用sudo shell是一个交互式的应用程序,在执行外部命令时通过fork来创建一个子进程,再通过exec来加载外部命令的程序来执行。 但是如果一个命令是shell内置命令,那么只能直接由shell 来运行。 sudo 的意思是,以别的用户(如root)的权限来fork一个进程,加载程序并运行,因此sud 后面不能跟shell 的内置命令。

实例说明: [wangshibo@ops-server4 ~]$ sudo cd cd /sys/kernel/debug/ sudo: cd: command not found 在这种情况,我们又没有root账户的密码,我们怎样执行该命令呢? 有种办法就是使用sudo获得root shell 的权限,然后在root shell中执行该命令。 进入root shell 很简单,输入sudo bash确认本用户的密码即可(如果/etc/sudoers里配置了无密码使用sudo,就不需要驶入密码),此时你会发现命令提示符显示当前 root。一旦获得root shell,你就可以执行任何命令而不需要在每条命令前输入sudo了。 [wangshibo@ops-server4 ~]$ sudo bash  //或者sudo su - 或者 sudo -s,其实就使用sudo命令切换到root下 [root@ops-server4 wangshibo]# cd /sys/kernel/debug/ [root@ops-server4 debug]#

我们可以使用 type 命令来查看命令的类型,如: [wangshibo@ops-server4 ~]$ type cd cd is a shell builtin [wangshibo@ops-server4 ~]$ type umask umask is a shell builtin

5.sudo 操作记录日志 作为一个Linux系统的管理员,不仅可以让指定的用户或用户组作为root用户或其它用户来运行某些命令,还能将指定的用户所输入的命令和参数作详细的记录。 而sudo的日志功能就可以用户跟踪用户输入的命令,这不仅能增进系统的安全性,还能用来进行故障检修。 但是要记录sudo的日志还要一些简单的配置: 1)创建sudo日志文件 我们将sudo日志文件放置在/var/log/sudo.log 文件中: [wangshibo@ops-server4 ~]$ sudo touch /var/log/sudo.log 2)修改/etc/rsyslog.conf配置文件(有些版本系统的这个文件名为/etc/syslog.conf),在该文件加入下面一行: [wangshibo@ops-server4 ~]$ sudo vim /etc/rsyslog.conf ......... local2.debug /var/log/sudo.log //空白不能用空格,必须用tab 3)修改/etc/sudoers 配置文件 注意网上很多关于sudo日志文件配置都缺少这一步!在该文件中加入下面一行: [wangshibo@ops-server4 ~]$ sudo vim /etc/sudoers ........ Defaults logfile=/var/log/sudo.log 4)重启 syslog 服务: [wangshibo@ops-server4 ~]$ sudo service rsyslog restart

5)最后,就可以查看sudo日志记录了: 经过上面的配置,sudo的所有成功和不成功的sudo命令都记录到文件/var/log/sudo.log 中。 例如我上面运行几条sudo 命令之后,查看该文件的记录如下: [wangshibo@ops-server4 ~]$ cat /var/log/sudo.log Dec 3 11:28:38 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ; COMMAND=/sbin/service rsyslog restart Dec 3 11:29:49 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ; COMMAND=/bin/cat /etc/passwd Dec 3 11:29:56 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ; COMMAND=/usr/bin/vim /root/a.sh Dec 3 11:30:35 : guohuihui : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/guohuihui ; USER=root ; COMMAND=/usr/bin/vim /root/a.shsa Dec 3 11:30:47 : guohuihui : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/guohuihui ; USER=root ; COMMAND=/usr/bin/vim /root/a.sh

linux下的其他权限可以参考:linux系统下的权限知识梳理

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

Corosync + Pacemaker 搭建高可用MariaDB服务

实验描述 本实验的目的是为了通过手动配置corosync配置文件,实现MariaDB服务的高可用,集群心跳传递使用组播方式。 三个节点的主机名分别为:node5...

459100
来自专栏吴伟祥

Linux 系统启动过程 原

当计算机打开电源后,首先是BIOS开机自检,按照BIOS中设置的启动设备(通常是硬盘)来启动。

15220
来自专栏伦少的博客

centos7 hadoop 单机模式安装配置

转载请务必注明原创地址为:http://dongkelun.com/2018/03/23/hadoopConf/

547110
来自专栏云计算教程系列

如何在CentOS 7上使用Postgres,Nginx和Gunicorn设置Django

Django是一个功能强大的Web框架,可以帮助您启动Python应用程序或网站。Django包含一个简化的开发服务器,用于在本地测试您的代码,但是对于任何与生...

17330
来自专栏技术博文

php-fpm中启用慢日志配置(用于检测执行较慢的PHP脚本)

虽然通过nginx accesslog可以记录用户访问某个接口或者网页所消耗的时间,但是不能清晰地追踪到具体哪个位置或者说函数慢,所以通过php-fpm慢日志,...

470100
来自专栏喵了个咪的博客空间

[喵咪BELK实战(2)] elasticsearch+kibana搭建

[喵咪BELK实战(2)] elasticsearch+kibana搭建 ? 前言 上一节我们介绍了日志系统和BELK之后就要到激动人心的安装环境了,实践出真知...

36870
来自专栏云计算教程系列

如何在Debian 9上安装Apache Tomcat 9

Apache Tomcat是一个Web服务器和servlet容器,用于为Java应用程序提供服务。Tomcat是Apache Software Foundati...

58840
来自专栏Java帮帮-微信公众号-技术文章全总结

Dubbo入门学习--Dubbo注册及监控中心(3)

Dubbo入门学习--Dubbo注册及监控中心 Dubbo提供广播、Zookeeper、Redis和Simple四种注册中心类型。 Multicast注册中心 ...

35330
来自专栏云计算教程系列

如何使用Apache驱动Django

Django是一个功能强大的Web框架,可以帮助您快速启动Python应用程序或网站。Django包含一个简化的开发服务器,用于在本地测试您的代码。但是其也需要...

32550
来自专栏网络

JavaEE——jsp介绍

jsp介绍: jsp全称Java Server Page,它是Servlet的扩展,其作用就是简化网站创建过程和维护动态网站。 jsp运作原理: 浏览器访问in...

27070

扫码关注云+社区

领取腾讯云代金券