08 -权限管理/75 -用户和权限-sudo权限1

大家好，欢迎大家继续收看上硅谷的云计算课程，我是沈超老师。这节课呢，我们继续来学习下的权限，这节课我们来看看一个叫做输入授权的权限，那这是个什么权限啊，它的作用是给普通用户赋予超级用户才能执行的命令的权限。各位啥意思？之前我们就学过，我说放在和USB下这两个目录下的命令是只有超级用户时才能用的，对吧。那其实我们如果这个使用普通用户的话，你会发现Linux对普通用户的限制是非常严格，就很多事儿都不能干，比如说重启啊，添加用户啊，给其他用户设密码啊等等这样的一些日常工作都不能干。那这种情况下。那这种情况下，我们很多事就只能用root来完成。而我们说了。

在实际工作中可能是root，只有谁，你们部门的负责人，哎，部门的这个经理，他是采用root权限，其他的用户呢，都是普通用户，而权限最高，反而他有时候可能会更忙，那他像一些日常的工作呢，他可能不一定顾得上，顾得上比如说日常呢。我每天都要备份我的数据，对吧，就是说不出问题的情况下，对吧，每天我都要备份，然后呢，每天都要监控我们的这个服务器是不是正常隔一段时间呢啊，我们做游戏的话，一般是一周需要把所有的服务器重启一遍，然后呢，我甚至可以有一部分的比如说更新网站啊，更新网页呀这样的权限。那这种权限呢，这种活是天天都要做，而且呢很麻烦，你说他他呃很复杂不复杂，但是呢，我如果直接把权限这个事儿都是要交给root来做，那这事我就说能把root累死，再一个要你干嘛。对不对，那这种情况下，我们就有一个矛盾了什么。

Root只给了这个部门负责人一个人，我们其他的用户都是普通用户的权限。对吧，而这些普通用户呢，刚刚说的这些工作，他大多数都干不了，因为他受权限的限制，他没有权利他执行这新命令就直接汇报错，那这种情况下，我绝不能把root权限就直接交给普通用户，这个是不合理的，这是偷懒，OK Linux帮你想到了这个东西，叫做速度授权。格，它可以用作的作用就是把指定的命令授给普通用户，让他可以指执行指定的命令，那它可以执行这样的命令。OK，那这个事儿就要比把root权限直接给他要安全的多，因为啥我只给你付一个命令的权限，其次啊，输入授权的时候你要记得这个事是吧。我们写一些他的小原则啊，苏州授权。输入授权，它是赋予的。

权限月。详细。普通用户得到的权限。普通用户得到的权限越小。啊，对对，然而如果赋予赋予的权限呢？月干嘛简单，你写的不够详细，那么普通用户得到了权限了。普通用户得到的权限越大。各位，这个和防火墙有点类似，我们待会儿你就能理解我在说什么，你权限命令写的越简单，你赋予命令给的越简单，它代表它这个命令所有的功能都能有，而如果你赋的越详细，比如说我只要你用这某一个选项，某一个参数，那它得到的权限就越小，就是这个意思，明白，那这是速度赋予权限的原则。好，那各位这个事儿。跟刚刚的HR不一样了。

AR我们说它其实是有一定的风险的，因为有权限溢出的问题，对吧，那这个东西呢，我说只要普通权限能解决，就不建议使用acr权限，而速度不是，速度基本上是在只要是合理的或者正常的管理范围之内，速度都是非常常用的，当然如果你的公司就是管理非常混乱，那个就一台服务器啊，大家也都不重视，是个人上去都是管理员，那是不是就不用不用考虑这个，但是我说。专业运维工程师，一般公司需要专业运维都证明什么，这个公司的数据是非常重要，绝不可能是处在我说的这种散养状态。对吧，大家肯定就是什么。我说了权限划分会更严格，那这种情况下，管理员就就必须要给普通用户付一定的权限，他才能完成他的日常工作，那苏州就是干这个，这个可是非常常用。OK，好了，我们大概知道的速度是什么？那我们来看一下速度的格式，速度执行起来非常简单，V速度就可以了，首先啊，V速度。

中间没有空格。它是一条独立的命令，不是用VI建立了一个速度文件，不是啊，打开这里面你会发现大多数内容都是注释。全都是猪事，其实就是他给了你一些例子，然后呢，其实这里生肖呢。这些都是在指定它的这个定义，它的变量啊，真正生效的内容其实就这一句话。哎，他给root付了所有的这个IP当中所有身份下的所有权限，那root不用你付，我本来就是超级用户，那这么付的目的就是告诉你这是个例子，你可以照着他写啊，那我们来看看这个文件，其实就这一段，就每句话就这么四四个内容，非常简单，我们看看是什么，第一个是用户名。你打算给谁赋予权限，可以是用户，也可以是组，如果是组的话，前面加百分号，首先这个井号是注释啊，只是告诉你没生效，也就在这儿写等看。

没生效啊，这没没生效，OK，那这是注释起来了，如果要想生效，把井号去掉啊，百分号代表是用户组啊，这里写你打算给哪个用户和哪个组部来付权限。那后面呢，这个奥呢是IP地址，各位这个地方我就说我们所有的中文资料。我们所有的中文资料。看到上面写的内容都是什么，这是来源IP，一直认为这是来源者IP，就是说从哪个电脑登录到你的计算机的IP，可以执行后面的命令，哎，这样理解最合理，包括五啊超哥其实一直也这么一个，只是直到有一天我们说我们看到了帮助来慢五，苏德五是不是查看配配置文档的帮助苏德四，那他那个帮助是这个名字，这个帮助非常大。

找起来很麻烦，所以我提前打开了这个帮助，然后呢，我找到了这样一句话，我们来看看，他说给Jack用户付权限，附什么权限呢？附针对SS这样一个IP的权限，那3S是啥？我们往前翻，它前面定义了一个。别名主机别名当我打C啊，这个当我敲入csncs ne的时候，相当于敲了这些IP。相当于它允许定义别名了啊，然后呢，那也就说在这里啥意思看。Jack。这些IP我们原先以为是不从这些IP登录过来了，Jack用户就拥有所有权限是吧？那我们来看看这句话写的是啥啊？Jack Jack，用户可以执行任何命令，On。在这些主机当中，在这些主机编程当中，实际上也就是这些IP当中，看清楚了是二。

而不是from，不是来自，而是在，换句话说，这个IP不是来源IP，而是被管理者IP。各位，那被管理者IP，那这时候就要干嘛，集中一个类似于Windows域的东西，就要有域控制器，然后有一些被控的服务器在它上面配我在我在我这上面的用户可以控制语，那Windows windownus当中有一个类似的服务叫做逆服务，那这种服务现在基本上都已经淘汰了，在这里，换句话说，这里其实你可以就如果真没搞明白，其实并不影响这个苏州的使用，所以啊，因为这地儿不是太重要，大家就是你就记得就写奥就行，代表来任意被管理这个任意这个被管理I拼就行了。默认记住就行。我只是想提醒大家。我们很多一些习以为常的东西，包括我也是这么认为的东西，其实可能都是错，都是错。

最主要或者最准确的东西还是帮助，我提醒大家碰到一些问题的时候，一定要尝试去查看帮助啊，这个事儿大家注意好了，那我还是说这个事儿。其实只要写O就行了，因为这种在Windows下的意服务几乎是不再使用了，再一个就是Windows的预控集和Windows服务器就用不着了，何况它的预控啊，对不对？所以这里就写O就行了啊，这里理解一下好，这是被管理者IP，被管理的IP。后面这个括号呢。是代表把这个用户的身份切换，为什么用户身份如果想要代表所有可用身份，所有可用包括root。这里写就代表把这个，比如说你现在是root切换成root不起作用了，那我说假设待会我U色一切换成root。小就是root这块也可以不写，不写代表切换为root，哎。

这里写or代表任意身份，这个字段省略代表切换为root，其实就一个意思，所以这个字段可以不写，就是第三个字段。最后这个啊，代表赋予这个用户什么命令。All就代表所有命令，那不能负啊，真负啊，这个用户U就变成了超级组了，那这里就是这个命令，就是你写的越详细，权限越小，写的越简单，权限越大，那我们来尝试一下，我们举个例子啊，各位。我们来举个例子，我假设我想要授权UC用户可以重启服务器。各位普通用户来啊，我拿UC去登一下。普通用户是无法重启的。刷不到。杠二吧，那他会报错，需要root来完成重启，普通用户不让干的，为啥你想？服务上面真运行了啊，这个上千万的流量，这个这个这个上面就跑的真金白银，你梆唧条兵就重启了，我问你这损失谁来付。

对吧。所以。普通用户是不允许重启。而我们就说。最大访问量的服务器来讲，尤其是像游戏啊下载这样的集群，其实重启服务器还是必备的，我们为什么每周都需要做这个维护啊，各位不是每次都有更新呢？其实最主要的工作就是每周把服务器重启一下，我们认为在计划之内的重重启远比意外宕机造成的损失要小，所以我们宁愿牺牲这半天时间来干嘛？超越了访问人数最少的时间一般是周二上午，对吧，然后呢，来有规划的重启。在这种情况下，你想。几千台服务器啊，当然不可能手工重写啊，手工重写多少多少人也来不及，都是写脚本。但这种日常工作没必要让管理员来干嘛，没必要让你们部门经理来干嘛，我赋予你权限，让你来干就行了。普通用户不行对吧，那我就赋予超这个UC用户来行，我日由root来赋予，小心啊。

他要赋予，先要由root来赋这个权限，然后呢，才可以用普通用户来使用它，OK，那root用户赋予的时候就是看我现在是超级用户。对吧，VI速度，然后呢，在最下面我就写照了格式给U3用户for什么权限呢？是被管理的任意主机上面这个哦，我说了可不可以不写，这个是切换身份，不写就行。那负什么呢？负杀的down命令，那沙拉down在哪？哎，这里记得要写绝对路径，你提前where is查一下杀当在下OK，那这个时候就是看在下当shut当。好各位，这个时候我就说了，如果你只是这样回车。那么这个用户来我试一下这个命令啊，不需要重启任何服务，保存退出就可以生效，小心单保存不生效，必须要保存退出，这个时候我可以拿普通用户来试试吧，我把。

背景改一下，我好区分白的是超级用户，黑的是普通用户，这个时候干嘛我就可以干嘛，速度杠L查询。他需要你输入U色一的密码，他要确定你是U41，我的密码是123。说完他告诉你用户U41可以执行这条命令，以root的身份来执行。来，我重打开这个速度，你可以看到是吧，我没有写身份，它就代表切换为root这里。就代表切换成root身份。那如果我要是打了这个身份。我要是打了这个奥，他就会这里认为是奥。又会认为是奥，OK，那其实不论是奥还是都一样，但是我说我这个命令写的太简单了，你发现了吗？那这里赋予的话就代表。

UC可以执行所有的参数。不光可以重启，我还能关机都可以，所以我说您给的权限。越简单，他得到的权限越大，那正确应该怎样写？应该这样写，看看，我不能这样，光是这样写。我应该干嘛？写清楚，杀了当你只允许执行这一个选项。和这一个参数只允许重启，而且是现在也不允许你设定的特殊时间，那这种情况下看它保存退出啊，我重新用UC一再输入杠L查一下，我能执行命令，注意啊。第一次速度杠L需要输密码，如果短期之内几分钟吧，如果你再执行是不用了，但是隔一段时间十分钟以上，它这个就会还需要你输密码，但是你可以看到。我能执行命令就是抗行了，而不能是其他命令。那普通用户怎么执行呢？注意他同样还是不能直接打上分档，有人说那我是不是就可以这样来敲了。

不行，OK，为啥你这到底是普通？你就算拥有了部分可以执行的超级用户权限，你要干嘛拥有特定的格式，也就是说你先要打速度。再去打绝对路径，就照着开打，你才能执行这条命令，回车系统就会运行。OK，当然我先别，我试一下杠H他能不能用啊？他就说了，因三一无权引入他身份执行这条命令。OK，那重启一下就很麻烦，重启就需要时间，你们愿意的话自己试试，我就不重启了，那就是我说了你写的越。相信这条命令，你写成这样，他就只能执行这一个选项，而且写的越简单，只写沙大，那后面所有选项它都可以用，它反而危危险更大。所以提醒你们付权限的时候一定要写够，就是让他够用就行，不要给的太大，这个事儿大家注意一下。

大家注意一下这个事儿，OK，那这是速度的第一个例子，也是速度最基本的用法，其实就很简单，所以这个事儿还是很常见的，一定要小心的，就是不要给他付了，权限太大了，这个事儿有可能会有问题，OK啊。好各位，这节课呢，就先到这样，我们解释了一下速度是干什么的，然后解释了一下速度的原则，这个千万别忘，然后举了个例子，我们看看思路是怎么用的，那剩下还有些例子我们后面再来看啊，这节课就先这样，下节课我们再见。