2安全基础-11利用sudo机制实现授权管理原创

好，那我们接下来来给大家介绍一下这个Su度啊速度，那速度呢，它的功能是做什么？在上午呢，我们看了一下这张图啊，这张图形象的描述了速度的功能啊，一个普通的人啊，称为屌丝的人，有了速度以后就像开了挂一样是吧，具有了超凡的能力啊，迎娶了白富美是吧？男人必备，女人也行啊。那到底什么是速度这么神奇呢？那速度的来源实际上是这个意思，叫super user。啊，什么意思啊？那当然就是相当于你普通人具有了速度就成了超人是吧？Super user就是超级用户去做一些事情，那普通人用速度机制就可以具有了超人的能力。

那这个速度到底是怎么个逻辑呢？那实际上很简单，我们都知道在Linux中就两种用户，一种是root，一种是普通用户，那root它的特性就是权限很强啊，上帝权限想干嘛干嘛不受约束，而普通用户呢，权限又很小，那这样的话呢，就走上了两个极端，权限太大，要么就权限过小。那么有的时候我们是希望有些普通用户能做一些稍微具有管理管理功能的一些操作啊，比方说我授权我让某个用户能不能具有挂载光盘的能力啊。

那我们都知道，作为普通用户来讲，他去挂载文件，挂载这个，呃，光盘是不行的，那这个我们可以试一下啊，当然之前我们基本上都是在以入的身份来做任何操作，所以大家可能对普通用户的权限感受的不是特别深，那现在我用Su可以切换成普通用户，然后呢，我们去尝试挂一下光盘，比方说光盘CDROM挂在这，大家看它这就提示我们了，那仅仅是root，也就是仅仅超级用户才具有这样的权限，那这样的话呢，感觉好像普通用户有这权限太小了点，连挂光盘的能力都没有，那这样的话呢，我们有的时候希望能不能授权让普通用户能具有一定的权限，当然不能都给他啊，只是给他特定的权限呢，那么。

方法就是我们接下来要给大家说的速度。速度的逻辑就是授权，让用户执行特定的命令，当然没授权你什么也干不了，你授权了就可以按照我授权的这种规则来执行，他以前没有权限做的事情，就这么简单，这就是速度的逻辑，那速度呢，这个技术显而见应该是。超级用户也就root来定义规则，授权他的授权。是来通过修改对应的速度配置文件来实现的，那这里面就用到了一个专门的工具包，这个包呢，当然默认咱们应该是有的，这个包就是速度包。速度包里面来实现刚才提到的速度机制的这样的功能的。啊，这也看到了速度的简称，看一下这个包里面它包含的文件有哪些。

而我现在系统本身就有这个包，看一下文件列表。这个文件列表啊，比较关键的文件就是这个速度。Ers啊，这个。那这个文件是速度的配置文件，这个文件基本上不用动，我们主要是修改授权规则，而授权规则就是这个文件来管理的。事实上你的授权规则也可以放在这个目录下也行啊，这样的话我们可以拆成若干个模块文件啊，比方说按照业务或者按照部门来分门别类，每个业务或者每个部门的授权可以放在这个目录下，单独写一个文件也是可以的啊，当然你全放在一个文件里也行，如果你的授权比较复杂，建议给他放到独立的子配置文件里，那就放在这。

就可以了，这是一个文件夹，写的时候呢，他们的授权写法是一样的啊，写在这儿也行，写在这里面的子配置文件里也行，那么其中授权的时候，那我们可以通过编辑这个文件。授权之后，普通用户不是直接执行命令就可以，他必须通过明确的写一个速度的关键字，才表示我要通过这种速度的授权方式来执行某个特定的操作。啊，所以我们主要的就是要看一下这个授权。怎么授权，这是比较重要的。八。那刚才我们大体上给大家描述了速度的工作逻辑，包括它的这个一些相关的包命令，那速度呢，它的授权之后，用户呢，通过速度后面跟上操作，就可以来执行他原来不能做的事情了。当然在第一次执行速度，通常来讲会提示你输入口令，但这个口令并不是别人的口令，而是自己的口令，因为授权往往是提升比较大的权限。

所以在第一次登录的时候，希望验证执行速度的这个人是本人，所以需要你再次输一下当前用户的口令，当然后续就不会再频繁让你输入了，它有一个时间这个先，那类似于检票系统，大概是五分钟就是五分钟。这个五分钟第一次授权。S执行速度要输入这个口令，在五分钟之内，你再去通过速度执行操作，是不需要再频繁输入口令的啊。

当然速度里面除了进行授权，还可以通过日志。记录用户到底执行了哪些操作，所以呢，这个就带来另外一个好处，就是我可以做审计啊，看看用户到底执行的哪些操作好，那当然这个do的规则文件就是这个ETC的。那么这个文件呢？嗯，它来自于do包，刚才我们也提到了这配置文件，这个不用动，基本上好，那么它的这个速度的规则文件，你可以直接用VI编辑修改，不过呢，这个文件由于有格式要求，所以这个我们有的时候推荐大家用VI do这个文件命令来编辑这个文件，实际上你直接执行这个命令VI do就相当于直接通过VI把这个文件打开了，只不过打开的时候它具有语法检查功能，如果说你在编辑文件的时候格式写错了，退出的时候它会提醒你。

啊，你也可以通过Vs do、杠C来检查目前编辑完了的文件格式是否正确，如果你的文件没有放在咱们的ETCSUDOS，而是放在这个目录下了，那么你也可以通过VI do、杠F后面跟上你写的这个规则文件的路径，来检查你这个文件里面的格式是否符合要求，这也可以的。啊，还有一些其他的命令，我们稍后再说。好，那下面呢，我们就来看一看速度，速度呢，它的执行是普通用户被授权之后才能执行的，所以你在没有授权之前，这个速度相当于就实行不了啊，当然即使不行不能执行，我们先来了解一下目前速度的命令格式s do呢是这样的一个语法，S度后面跟上一个。

命令，这个命令就表示我以do的身份来运行此命令，当然你要执行这个命令的话，那么应该是具有了速度的授权之后才有能力执行啊，如果你没有授权，直接通过速度执行你想执行的一个呃命令的话，他可能会提醒你说什么没有授权不能执行。另外我们数所谓的授权能执行，就是因为我们要提前先授权这个用户，让他获取一个某个权限较大的用户的权限啊，那就是我授权张三能代表某一个权限较大的人去执行某个操作，当然通常来讲权限大的一般就是root。所以我们这个地方可以省略代表谁，但是实际上我们这儿也可以指定代表另外一个普通用户，比如说那普通用户权限小啊，但是你别忘了，我们虽然他权限小，但并不代表着每个人的权限都完全一样，比方说我们都知道文件上是有文件权限的，那我们是不是有可能有些人对某个文件是有权限，另外一个人对文件没权限，对不对？这时候我们是不是就可以让这个没有权限的人代表有权限的人去通过这个命令来访问这个文件呀，这样的话，大家想，如果我授过权了，这个人是不是就间接得到了这个权限，就这个逻辑啊。所以通常来讲呢，这个地方代表谁，一定是有权限执行此命令的人？

啊，当然一般root的权限大啊，所以往往有的时候我们省略，省略的话呢，这个地方省略默认就是root呗，诶。好啊，另外这还有一些其他选项，这个我们用到了再说啊呃，这个s do呢，I呢是可以切换身份，你加上I呢，它可以切换成谁呢？切换成你指定的某个用户啊，当然这个切换也需要授权，也需要授权之后才能切换，这个切换和Su很像，不过Su呢不一样在哪呢？Su切换是需要输入被切换目标用户的密码，对吧？啊，那么速度他这个切换虽然也是切换身份，但是呢，它是需要提前在。

Do里面授权，而且输密码也不是输对方的密码，输的是自己的密码，明白了吗？自己的密码，所以这个不一样啊，虽然都是切换，有点像啊，有点像啊，和这个Su相像啊相似，但是又不太一样。但不一不一样，输入的密码是不一样的，而且你要执行速度是必须要授权的啊，速度。

必须提前授权。而且。要输入。输入自己的密码，输入自己的密码啊，这是不太一样的。好，那下面咱们就来试一试速度。那我这呢，拿一个普通用户，刚才我们想拿这个身份来挂光盘，挂不上去，那我们就用school来挂。

前面加速度实际上这个地方省略了一个更优的root，当然由于我们没有明确授权呢，所以这个账号呢，授权肯定会失败，就是你执行会失败，那这个地方他提醒你说123啊，那现在你在执行这个操作的时候，要输入for王，注意王的口令啊，是自己的口令。那你输入自己的网口令以后回车，大家看是不是因为我们没有授权，所以导致失败。他这提醒我们说王账号没有在tes文件中，那这个事情呢。将被报告，那这个报告什么意思呢？是不是有日志记录呢？那我们来看一下，你像这种安全日志里面是不是有看到没。是不是啊，哎，所以这个将来你想干坏事，速度里面配置文件，速度里面它是可以来记录日志的，记录日志的，所以这也是额外的一个好处吧，嗯。

好，当然现在由于他没有授权，所以做不了啊，那下面咱们就来授权，那授权怎么授权呢？刚才说了，实际上就是编辑那个ETC的Su do文件，那这个文件的格式呢，在授权的时候，它的格式是这样的一个格式，这格式呢就是这样用户。这是被授权的用户能够执行什么命令？能代表哪个用户执行？并且你需要坐在哪个主机上执行这个命令。也就是他限定了这个文件，这个限定了这个授权是在哪个主机上啊。那这个呢，实际上变相的就是约定好了这个用户账号，你只能做在这个机器上去授权你别的机上你还不行。

注意我们所写的这个授权文件，有可能会写一个比较通用的文件，有可能会把这个文件复制到很多电脑上，所以呢，这个时候每个账号到底能不能在这个机器上被授权，那还是要看这个主机的，所以它的格式呢有四项有四项。那这边就有一个例子，大家看，这是一个例子，相信大家一看就明白这什么意思，那授权root能够在任何主机，能够代表任何用户能够执行所有操作。当然了，这个命令有用吗？Root需要授权吗？Root天生就是管理员。对吧，你这授权啊，所以这个是个学习范例了啊，学习范例当然这个文件里面确实真的有，那我们把这个规则文件打开，但是打开这个文件呢，呃，编辑修改的话，通常来讲是不太建议的，因为这个文件格式写错了会带来麻烦，所以我们有一个和它等价的命令叫VISU度，这个实际上就跟这个功能是类似的，只不过就是它具有语法检查的功能啊，格式错了它会报啊，比方说你看我们现在用这个打开来看一看，打开以后呢，这个就是文件格式，当然大家可以看到井号开头的好像不用说了，全是注释，哎，那再往下看，有些设置我们先暂时可以先不看它，哎，我们去看，诶，你看这是不是刚才我们提到那个例子，这不就有吗？啊，Root什么什么什么啊，那这个格式万一写错了，比方说我不小心把这个。

D给删了，这个D给删了，这个格式写错了，写开错了以后，他就告诉我了，说第88行语法出错，那接下来你要干什么，这叫1233项选择，一呢是接着编辑，X呢是直接不保存退出，Q呢是保存退出，不过后面写了一个B是危险吧，危险啊，所以我们接着编辑，接着编辑的话呢，就是EE接着编辑看到吧，哎，就这个意思啊啊，所以我们这个地方可以退出，那如果说。

你可以直接习惯性的啊，就可以直接编辑也行啊，只不过就是这种方式就没有语法检查功能了啊，直接打开。好，打开以后呢，我们在这来参考的格式来进行授权啊，那授权谁呢？比方说我们授权网账号能挂光盘，刚才不是挂不上吗？对吧？好，那我们现在就来做一个这样的事情啊，挂光盘。刚才我们王这儿是不是挂光盘不让挂对不对？好，那现在我们就来授权它挂一下光盘，那怎么授权呢？比如说王在所有主机上啊，或者我就约定好就在我这一个机器上，因为我的机一个机器就写IP就行，这个授权只在我这机上好使，这个文件拷到别的机上不好使啊，只是对我这一个机级授权，授权谁呢？代表任何人，实际上呢，我就代表root就行了，我也不代表其他人啊，然后授权呢，干嘛呢？挂光盘，挂光盘的话呢，这个地方一般建议写上绝对路径mount，那但是这个mount的路径是不是在这，我查一查which一下，Mount是在US2B，应该是一样的，因为它是软链接关系啊，软链接关系好。

来你授权，然后是D的CD room CD room。是不是往这挂看，这命令是不是就写完了，就这么简单，那授权完了以后呢，我们现在存一下盘，诶我发现它不让存，因为这个文件是只读的，所以我们还加个叹号，强行往里写，这就是VI直接编辑的时候，它会提示你只读啊好了，那这个文件就写完了，写完以后这就授权就是就可以了，那授权完了以后呢，我们王教浩现在再来实现一下刚才的命令，刚才不是失败了吗？对吧，那现在再执行一下这输入王的口令，那我再次输入口令回车。

呀，这个咋回事啊。他说sorry，王浩没有允许执行这个什么什么什么什么，这是咋回事啊？那我刚才授权有错误吗？啊，看看VI Su do直接把这个文件打开，那我们授权不就在这吗。

诶啊，看一下刚才的这个授权啊，这是mount什么什么，看这忘了它什么什么什么，这是不是有个杠，这没有鞋杠，那是不是因为鞋盖呢加个斜杠。就一些港。所以这个命令授权一定要精确，差一点都不行，看光盘挂上去了。看到没有啊，就是差一点点差一点点，当然我挂是挂了，但是能取消挂载吗？没权限呀啊我那我执行速度能行吗？没行啊，那你们没授权过吗？所以我还得再再授权。

那再授权，那么在这我们可以再写上一个授权啊，你可以写多次授权，把授权指令放在这个地方啊。那我们在这儿可以写多次授权。那我这应该有具体的例子啊，你看这有这有具体的例子，这是一次授权，这是一次授权，这一次授权这是可以的，那所以我们这儿可以把它呃并you mount。诶，如果我光写个U码，我们后面不写命令了，不写那是不是就是取消所有挂载都可以了，是吧，那我就这么写啊好，那我们来看一下，现在授权完了，那我们取消诶可以了，当然那他取消那就麻烦了，那是不是把其他的也可以取消了，你看这这是不是权限有点大了，这个啊这个麻烦了，这个啊把我步子都给卸了啊，这个把data也卸了，你看都卸了。

能把根卸了吗？根卸不了啊，根现在正在用呢，主要是你现在不就在系统里面啊，那不过呢这个有点大，所以最好还是给他精确的是吧，诶你让他卸载什么就卸载什么，不要给他太大了，所以这个授权要小心点。呃，你授权的话，要给他适当的权限，只要满足工作需要就可以，不要给他太大，太大容易造成安全风险啊，啊这是刚才给大家讲的授权命令啊，那似乎这个授权很简单，这就授权完了，那事实上他的授权还可以针对组来授权，我刚才是针对一个用户来授权。那这个呢，操作我们可以不放在这儿，我们可以写组来授权，组的话呢，方法是加个at，就是百分号啊百分号，百分号后面跟组名，诶大家发现没有，这个地方有一个叫will组的，这个will组哦，啥意思？那是不是就是只要是组的人，他将被授权，所有操作都可以。

所以如果说这样的话，那我是不是干脆把一个账号加到V组里就行了，那大家有没有V组啊，那我们看一下有没有V组，这系统带V组吗？还真的带，还真有这个组，那真有这个组，那我们比方说把马哥加进来吧，啊，在没有办法马哥加到授权之前，相信大家应该知道马哥现在只是个普通用户，他肯定是做不了这些事的啊，比方说哎，我重启一下行不行？马哥的密码输进去你看不行吧，不行，没权限吗？好，那现在我就把马哥加到VI组里，那加到VI组里，诶，那个命令还记得怎么加组吗？马哥不在组里对吧？那加组的话，咱们有好几个命令都可以做到啊，随便找一个命令行哪个命令啊，比方说用user mode修改附加组啊，Will组啊，加到这个这个组里面，这不就完了吗？啊进去了，好，那现在我们来试一试。

马哥在这儿这些好使不好使啊？八。为什么不好使？回答一下腾讯课堂回答一下。回答一下为什么？告诉我为什么我刚才授权写写错了吗？我这授权是写错了吗？我不就把它加到组里了吗？因为这个组是自带的吗，对吧，自己就带那个权限啊，我加到组里理论上他应该是可以的，为什么不行呢？

啊，诶，李冠同学终于这次答对了，因为需要重新登录，因为你没有登录，是不在这个组里的同学们。看到了吗？啊，所以我们要重新登录之后才能够获取新的组成员关系，才可以授权看重启了吧，好使吧，你们其他学员怎么就想不到这个令牌的问题啊，说到令牌不是说了吗？你现在组成员关系啊，ID啊这些图标登录才能获取，你不出现登录他改了他不生效的。是不是啊？

好。那接下来刚才我们的授权是加到度啊V组里，当然这个V组权限太大了，那我把它删了吧，呃，我把这个马哥账号再从V组里去掉它啊，那去掉的话我们换一个命令，这回用什么命令啊，Group members吧，杠B把马哥杠D，这样的话它就不在里面了吗？这不就可以了吗？对吧？啊。这样就行了。那刚才是对主授权。那事实上刚才我们的授权不仅可以修改这个Su文件，我们也可以写一个这样的文件放在这个目录下，注意这个目录下面也是可以的，这个目录呢，现在ETC so doors.d这个目录是空的，那我们也可以把我们自己建的文件放在这授权还是原来的权限一样没变，还是这样的权限啊，比方说这回我们授权。

马哥，然后这个地方可以写上。IP啊，或者我干脆写个奥了，然后代表谁，比方说代表王啊，去访问某个文件啊，比方说访问贝塔下的test的这样的文件。啊，我做了一个这样的授权。然后这个文件呢，要求有安全要求啊，VISU度，它可以检查这个命令的语法是否正确啊，这可以检查。

他说格式真有错呀，第一行有错，看看错在哪了，嗯，往cat。没错呀，这不就是代表这个人吗？格式第一行有错。格式应该是。我没有写路径，没有写路径应该也可以啊。啊，那这样我把这个权限给他加一下，这个权限呢，是这样他有要求啊，你看人家那个度的主配置文件授权权限是64440是吧，那我们这个地方也要440，也要是440。这样的话呢才安全，你想授权的文件随便让人看是不是不好啊。

对吧，啊好，那现在呢，我们，呃，当然你这个地方你数学王来，呃数学马克代表王来执行，那王账号的有权限啊，所以我们现在呢，先把一个文件拷过去，比方说就这个文件吧，拷到ETC就叫test，呃，拷到这个data下，那现在这个文件我们看一下，诶谁都是没有访问权限的，我们通过acl来授权王能全访问王优。这样的话，王账号是不是就有这个权限了，比方说给他一个读和写啊，读和写王现在就可以了，那现在你看我要用王账号来读一下这个文件可以了，哎，但是马哥现在是不行的，马哥去读一下这个文件是不行的，但是由于马哥被授权了，所以应该就可以了，所以我们用Su do来访问。

当然这个地方你要写上代表谁，因为我代表的不是普通，不是root，而是代表的是网用户，明白了吧，哎哎，你看它这个地方真是有一个，呃，没有有效的。还是格式有错误，那我看一下这个格式是不是有没有写路径导致的d test这里面有别的符号吗？也没有，那我就加上路径吧，啊，加上路径。这个地方加上一个B。Cat。括号等号号啊，显示绝对路径啊，然后呢，我们再来试一下。

诶，这回好了，那就是没有加路径导致的，然后呢，我们现在输入马哥的自己的密码可以了吧。啊，当然你要是马哥不通过度是不是就没有权限，现在是你看他是没权限是不是，那这就是授权啊授权。那目前咱们对速度的基本用法有了了解，那事实上我们每次在第一次访问的时候，你看我刚才去授权是要输口令的，第二次就不需要了，因为在五分钟之内是不用输口令的啊，但是呢，用这种速度呢，会带来一个问题，就是他第一次要输口令是一种交互式方式，那么将来我们在学习很多服务的时候，有的时候确实运行这个服务的身份是个普通用户，但是这个身份他的权限。

又需要他运行一些具有管理性任务的工作，那这时候我们就需要授权这个用户具有和root一样的执行任何操作的权限。但是这个程序在运行的时候，它是后台系统自动执行的。他不希望能够通过交互式方式，因为后台程序没有人手工再去输入他的口令。所以在这种情况下，我们是不希望手工的提示我们输口令来进行授权之后再执行命令的，那这时候怎么办呢？诶，方法也很简单，就在这个地方加一个no pass WD。No passd，就是这个用户授权之后，他去以某个人的身份执行，是不需要输口令的，这样的话就会变成了一种非交互式方式啊。

这就是比较省事了，那么后面我们学的一些服务，比方说举个例子啊ZS，那ZS呢，这个服务呢，它会在你的每个被管理的机器上有一个账号叫de，这个账号呢，是个普通权限的一个用户，但是呢，他又需要拿这个账号去修，执行一些管理权限的操作啊，比方说写日志啊，啊，或者是这个进行一些什么发邮件呀，甚至重启服务啊等等一些操作，它是没有权限的，没有权限那怎么办呢？诶我们就是用这个方法给它加上。这就可以了。这样的话呢，我授权了这个LIS账号，能够在你的机器上以不需要提供口令的身份方式就可以执行任何操作了啊，当然我这没有LAS，那我们就拿王账号来演示一下就行，王账号啊，当然我不写在这也行，我们写不改这个文件了，我们去改那个那个test文件也行，就改这个。

好，我去改这个文件，ETC su.d test改这个文件也行啊，比方说。王二。哦，哎，那这加no pass WD冒号，然后号，那这样的话呢，我们就授权了这个人可以做任何事情，不需要再输什么口令了，明白了吧？哎，这就是我这写的这个意思。叫帕达地。啊好，那现在我们存一下盘好，那这样的话呢，我们看一下这个王账号是不是在就为所欲为了。

干完账号，因为是嗷嗷权限嘛，对吧，所以他是不是啥都没干啊，比方说建个账号，建个账号建个，呵呵，你看密码是不用输的，看到没有直接建号。好，这就是咱们给大家介绍的这种授权，那事实上我们现在看到的三个这个，呃，授权的这四项啊，四项就是被授权的用户登录的主机和代表谁执行什么操作，不是四项嘛，那这四项呢，实际上它的格式还是可以写的，其他的各种丰富的写法的，那这个。

代表谁和以谁的授权谁，他可以写用户名，也可以写组名。还可以写I did的话写井号，前面加个井号，后面跟上ID，也可以写组的ID，不过前面也要加个百分号的井号啊。然后还有就是它还支持别名，它还支持别名，这个别名是什么意思呢？别名就是相当于一个变量，它代表着你可以把一些用户加到一个别名里面，让这一个别名来代表多个用户也是可以的。别名不仅有袜子别名和U别名，还有主机别名，你看没有，还有这个命令别名，命令也有别名。那主机这呢，也可以写IP地址，写主机名，或者写子网掩码的这种形式也可以。还可以命令，这写命令名，也可以写个文件夹，那写文件夹的意思说这个文件夹里所有命令都能执行。

啊，还可以写sto edit sto edit呢，就是授权用户能执行啊编辑sto这个文件的权限，那这样的话呢，你如果你授权这个了，那相当于就啥都能，他就可以改这个度授权文件了，那改授权授权文件了，那不就啥都能干了啊啊所以呢，我们这边有一个例子啊，这个。你看这就是授权王能对这个系统具有do edit权限，一旦有了这个权限，那么王账号就可以通过do edit直接后面跟上文件来编辑文件了，听到吗？啊，那这样的话，你想我都能编辑文件了，那不就啥都能干了吗？啊，比方说我们来试一试，就这个。好，那我们重新来编辑一下，修修改这个王，先杀了他。好，重新加一个，那现在我们授权王账号能够执行度edit这个路径，不用写绝对路径，好，那现在我们直接去执行sto啊，应该是切换到王者号，然后to edit后面跟上ETC Su do看。

输入自己的密码，大家看是不是打开了，打开了那你想改不由你说了算吗？对不对，比方说你授权自己嗷哦权限，那不是又能啥都能干了对不对？比方说我把这行注释掉了，你看可以吧，这不就是什么都能干了啊，这就是授权用户能具有编辑所do文件的权限啊，这个权限慎改啊，一般就尽量一般都是给自己，假如说你自己是运营工程师，你现在不想每次都拿入的账号登录有点危险，现在你就可以把系统里面建个普通用户，然后给自己用，需要的时候通过度执行就行了。那么大家都知道U邦tu里面默认是不是就是这么干的，乌邦tu里面默认root是不让登录的，每次。

装好系统以后是不是要建一个普通账号，这个账号之所以他能够通过度做事，相信大家应该知道乌邦兔是怎么做的，乌邦兔为什么你装系统的时候，那个建了一个账号，他就好像啥都能干，诶那实际上呢，你看一下他当初是怎么授权的。好，我这一打开，你看这个账号它是怎么数字去。

八。好，我们也是打开速度啊，我用那个VI叉叉12点嘛，101，这样的话看起来比较舒服一点。好，我现在去连一下速度或者VI速度，这么打开也行，打开以后在这看，那我们看到这里面并没有针对我系统带的那个账户，我带的那个账号是谁呀呢？是王账号。这个王账号，这个王账号它能够利用速度来做任何事，你看我现在执行速度，比方说我建个账号，哈哈。

输入自己密码。你看可以啊，这个王账号就是我装系统的时候建的，为什么他可以，那这里面有对王建授权吗？这里面有王的授权吗？我们看不到王的授权。但是为什么王就可以呢？因为王账号属于哪个组，大家看速度组看到没？而我们刚才看到这里面是不是就有一个速度组被授权了all的权限，什么权都有啊。当然，大家可能惊奇的发现，这个地方好像又多了高。啊，这个哦呢，是一个这个意思，这个是用户，就是授权这个组里的人能够在任何主机上代表任何人，这个是代表任何组的意思，组啊，就是前面是账号，后面是组，也可以加组，不过这个用的不多，后面是执行任何命令这意思。

啊，注意这个命令啊，实际上也不能说完全没有意义。因为我们都知道，万一有一天我们不小心把root账号的ID变成了非零，大家想过没有，然后这个地方把王账号变成了零，这什么意思？我们都知道，这时候王账号成了管理员了，那这个root账号成了普通用户了，对不对？你看你看Dollar。到那就表示普通用户了，现在入的账号是不是啥也干不了了，比方说我建个账号啊，就会建个随便这建个账号，你看权限不够了啊，他是个成了个普通用户了，没关系啊，度里面留了个后门，留了一个速度的后门，因为他授权root了，所以我就可以代表王。

是不是干事了？因为我知道输的是自己的密码，哦，干成了，那当然大家应该聪明的想到，那大不了我把这个文件再改回去不就得了吗？对不对，那就再改回来，这不就改回来了吗？明白这意思了吗？这不就这就这，就改回去了呗，是不是留了个后门，你想想。那root哪天不是管理员了，他也通过，可以再把这个权限找回来。

啊，这就是速度的背后的逻辑啊，啊，当然刚才我们提到别名的问题啊，咱们把别名说一说啊，别名的话一般来讲就是你在生产中。要是王把do也改什么意思啊，那如果说别名这个一般应用在比较复杂的场景啊，比方说你的企业里面授权的人也比较多，这个呃，权限分配也比较复杂，那你可能单纯这么授权有点乱，所以你可以通过别名，别名呢是这样的一个格式啊，别名定义是这样的，那我们说有四个别名，用户别名、RA别名、host别名和命令别名。别名要成为别名，必须是大写字母开头，后面你可以跟数字和下划线别名，它有四种别名。那么你要用的时候呢，先写上别名类型，再写上别名的名称，再加上别名里面的成员。

啊，那具体咱们看下面有例子，你看这定义了一个用户别名叫user a，呃，用户别名别名是谁呀？这是别名大写字母，它表示这两个用户，也就是这两个用户就属于这个别名，那另外还定义了命令别名，命令别名叫ma cmd，它表示IP，这个命令当然可以是多个命令啊，比方说我可以再加一些命令，比方说user啊，这个S病的I啊，我可以多加几个啊，当然我这个路径里确认一下它是不是在那个影响不是在那就这样就可以，那么它可以表示多个命令，就用这个net cmd表示这两个命令的边名。然后呢，再定义一个叫netdin，这个netdin呢，就是我们刚才定义的用户别名，对netdin授权能在任何主机以root身份去执行net cmd命令，而net cmd名是个别名，是不是也就是相当于能够授权net user1和USER2，能够代表在任何主机代表root执行刚才说的IP和f convert命令了，看明白了吗？这就是用别名。

来实现啊，这个一般授权比较复杂的情况下，咱们用别名。啊，这样的话，你看这个地方写的是别名啊，这个也是别名。没。啊，当然这还有更为复杂的，大家看这是什么意思呢？这是用户别名，它代表又有用户又有组，这也是一个别名，代表着一个用户啊，然后呢，这是主机别名，代表着一个主机和一个网段，又代表着一个代表谁run as啊是。然后命令别名有两个，那将下来授权的话，大家看他是这么授权啊，授权caa，然后在任何在这个主机上登录，他没有写授权代表谁没有写代表谁默认就是root。

然后能执行这两个别名对应的命令，那授权这个别名的用户能够在所有主机上代表op，这个用户能够执行DSTCMD这个别名代表着命令，就这个意思。啊，这全是别名。好，另外咱们在授权度的时候，它也支持通配符，大家看这个是什么意思呢？这是授权，就是对这两个用户起了一个别名叫the命U，然后还定义了个命令别名，这个命令别名代表着user的命令，User Mo的命令和user，呃，Pass WD命令，不过power命令呢，这后面写了一个字母星，这是不是就是任何以字母开头的字符串，对吧？但是呢，大家看这加了一个很奇怪的东西，是叹号user并判w root，这啥意思？那我想你应该聪明的想象到，你判W是改人和人的口令的嘛，但是你改口令可以，你不能把rule的口令给改了吧？哎，所以这加了个叹号，就是排除不能执行这个命令。

不能执行这个命令啊，改别人口令行，你不能把入的口令改了。那这个就是刚才提到的那no part b，就是你这个人。去执行这个命令的时候是不需要输口令的，但是执行这个命令还是需要输口令的。啊。有的时候需要口令，有时候不需要口令。

好，那这边还有一个叫default default是什么意思呢？Default是默认的意思。那所谓默认说的就是这个某一个账户，某一个账户他在执行操作的时候，我可以让他代表张三，代表李四去执行某个操作。但是其中代表张三百分之八十九十都是以张三的身份执行，所以我希望当这个用户去代表某个人执行Su do后面跟个杠U，要跟上这个用户名的正常啊，代表谁不就杠U嘛。但是。那么我希望代表张三，90%代表张三，那我就干脆希望把这个张三设为他的默认值，这样的话省得他每次掐杠U了，诶方法就是这样写，大家看default王，对于王来讲，你代表谁是默认呀，汤姆，那就意味着王账号再去执行代表谁的时候，你看他这授权，他能代表汤姆，代表jer瑞，那么你代表两个人，但是谁是默认的呀，汤姆是默认的，那换句话说，王账号去执行度后面跟杠U的时候，你跟杠又不用写了啊，不写就是代表汤姆，你写上的话，你可以写Jerry听了吧，这意思。

好，这是刚才给大家介绍的，那这个是主机，在哪个主机上可以被授权登录啊，这个这是什么意思呢。这看看什么意思。那就是授权王账号能够执行log messenger这个文件的信息查看，那这个文件呢，我们看一下啊这个文件。就一个。

啊，那我现在太少了，那我去登录我的网站，我的服务器，我的服务器上面那个文件比较多，呃，9527。啊，大家看，因为我的机器上开了好长时间了啊，你看我的机器开开机了，开了多久了呢。啊，你在这儿可以看到76天了。是吧，开机了76天了。没关过啊，所以我这就生成了大量的日志，大家看是不是有一些。

文件，你看这是不是message开头的文件有不少了。这是不是就是隔一隔几天它就会生成一个新的method文限，能看见了吧？啊，那现在我们发现这些measure开头的文件权限，什么权限是普通用户是不能看的吧，普通用户看不了，因为只有root能看啊，那现在我就希望授权。账号能够看message开头的所有文件。啊，比方说我这儿有没有王账号啊，我先看一下。我这没有王者号啊，那我就建一个王者号。那现在我希望授权王能够去看messages文件。那现在王账号他是看不了的，那你就直接看message看不了扣，看后面那些什么带二零什么日期的这种，比方说0906。

那看不了，现在我要授权他能看，那刚才那个命令是不是就是这样干这个工作的是不是啊。那我们就来授权一下吧，VI Su do。啊，我不改这个文件了，我们去改一个ETC Su do.d写一个测试，放这得了，放这。好，那这样的话呢，王账号看看行不行，再看message开头的文件。啊，需要加速度输入密码呀，他没加密码，我刚才没设密码是吧？啊没设密码不行，那我就给他加个密码好再来看。

咨询一下马哥edu。不是马丢吗？啊，我刚才设的不是马，再重试一遍。把我设的个root吧，我刚才改了个是，哎呀，把自己密码改了半天，你说这这这这真是糊了，那一会就上不去了，你看这多危险呀，这不是直接就登录我的系统了吗？马哥E丢，看看你们谁快啊，能快的话同时登录一下呗，还是没来得及登录哈啊，不过我这是个王是可以的，王全全小。

好，那那那再来再来，哎，这个可以了，可以了吧，但是这个实际上是有安全风险的，为什么呢？我还可以看加上别的，你看我加别的也符合这个授权嘛，你看是不是看到密码了，多危险呀。

所以我这个授权是错误的，那既然是错误的，那你就得解决这个问题了。那这个上不了，这个没全限。哎，我看肖大已经有答案了啊，这个答案是不是正确，你们去验证啊，那这个问题是个安全风险啊，不要这么写，这是有有问题的啊。好了，这是刚才给大家讲的这个，呃，速度的常见用法，那么速度呢，它默认的这个口令的有效期限是五分钟，也就是说第一次输五分钟之后，那么才需要第二，如果你隔了五分钟之后再去速度的话，需要输去输这个口令的，如果没到五分钟是不用输口令的，但这个口令的期限是可以改的，那么可以通过速度杠V可以看到这些信息，通过速度杠V。

来看其中这有一个五分钟的有效提示。验证时间戳五分钟，五分钟有效啊，这可以改啊，这个可以改，那杠V的话呢，它显示的内容比较多，而且呢，你看这个岗位告诉你当时编译是怎么编译的，这是它的编译选项。啊，如果说你速度想重新编译，那你就可以参考这个编译选项来实现，那编译选项你看多长。

好像之前有一段看什么文章说是速度有漏洞。所以有些生产环境中，这个速度可以考虑重新编译升级最新版啊，这个速度的官方站点我们可以看一下它的目前最新版是多少，这是它的官方站点啊，看看官方站点这边版本是多少了。家里科学上网吗？上不去啊。上不去。

你们这个都打不开了。你不是很好。法国的防不了，是日本吗？可以了。

好，打开了，诶看看这个官方现在最新版是1.9.2 1.9.2，那我们现在目前用的版本是1.8.29还行，还不算。但是四度八是比较新的啊，四七的话估计是比较旧了一点，8.23还可以，不算特别老啊，它更新看来不是特别频繁。啊，这个你将来想用最新版，你可以把它的源码下载下来进行编译安装啊，诶速度。好。

那这是乌邦兔的设置，这我们之前看过了，那注意这个速度。在乌邦兔里面，你要执行速度的话，它有一个这样的一个特性啊，就是你看乌邦兔里面，乌邦兔里面。如果用VI do，这个是可能会提醒你要用哪种编辑器，这个被我改过了，那我把它删一下，在哪呢？有一个edit编辑创建指定编辑器是VM啊，我这个给加了，加了以后我看看是改哪了啊，是不是改这里面了，不在这。还是改82C了，忘了改到哪了，点82C。这改了个啊，在这改的，把这个删了啊，把这个注释掉啊，把这个注释取消了以后，你看再用VI。

尺度。这个变量还有效，我先退出来啊，重新登录一下，诶，你看它默认它的编辑器可不是那个VI，而是用nano来作为编辑器的，看到没，底下这个提示就能看出来了啊，所以这个你要修改这个默认的编辑器的话，刚才我已经告诉大家怎么弄了啊，就是改这个文件。在这这写上一个export edit等于VM，这样的话呢，你去打开它就是用V了啊，当然你得生效啊，你得生效啊，生效呢，你退出来重新注销一下就可以生效，或者是用S也可以，那就可以了啊，这样的话呢，就可以指定默认文本编辑器是什么。

那另外呢，这边还有一些用法，刚才提到的速度的命令选项，这个杠L呢，可以列出用户被我授权的用权限有哪些，那我想知道我现在作为一个用户来讲，我到底被授权了哪些指令啊，哎，你可以通过这个命令杠L来看，哎，这就是被授权的，你看这不是有被授权的so do edit吗？然我哪知道自己被授权了，做了哪些事啊，这是可以看到的啊，他可以跟两个L，两个L呢，它的格式换了一种格式写法而已，实际上跟这个是功能一样的，就是换了一个说明形式而已。啊，另外呢，我们可以清理时间戳，这个有个KK的话呢，就是把时间戳清理，因为我们说了五分钟有效，那如果你现在用杠K的话，就把时间戳清了，清了以后呢，下次登录就必须立即输入口令了啊，管你在不在五分钟之内，他都给你清了大批的话呢，他会把时间戳文件删了，就连时文件都删了，它有一个文件来记录时间戳的，你把这文件删了，自然下次登录也得重新去输入新口令了。

啊，然后杠B是后台执行命令，杠P呢是把提示符格式改一下而已，那就个默认的提示符格式呢，是这样的格式，我们看到默认它的提示符格式是你看输入do w啊part w four网，但是你也可以把格式改了啊，我们用这个命令可以把这个提示格式改了。你看这时候啊，当然因为我这个时间没到五分钟啊，所以他这个地方就没有没有提醒，那我这样换一个账号，我换成马哥啊，或者我把时间戳清了也行啊，时间戳清了啊，清了的话呢，让K清一下时间戳清下时间戳时间，你看他又重新需要你输密码了，没到五分钟也要输啊，因为被清了时间了，你看这个这时候的格式呢，就变成我这指定的格式了。

这个格式里面H呢表示你的主机名，P呢是代表用户，那么这个格式就调了啊，这个跟刚才默认的格式就不一样了啊，这就是刚才给大家提到的这个杠，A呢是我们刚才说了是类似于切换，那你现在可以用这种方式来切换一下身份啊，当然这个必须要授权才行啊，你不授权是签不过去的。啊，这个就没有被授权，那如果我们现在授一下权啊，我们把ETC su.D这写一个文件，这写的是all全写。

好授权授权之后，那现在你看我再拿王账号Su do-IU root，你看输入自己的密码，你看就切换身份了，输入自己的密码。啊，从某种角度来讲和Su很像，不过Su呢，输的是对方的密码，而我这个地方输的是自己的口令，看明白了吧？哎，这就是速度的实现。啊，速度呢，这个刚才提到的这个通病符写法里面，我们刚才说过星号问号也是通病符啊，这都是通病符，这通病符写法都支持，不过呢，刚才我们说过一个安全风险啊，就是刚才有一个例子里面提到了，这个授权的时候要小心，这个权限授权是容易造成安全问题的，所以大家用的时候要注意啊，怎么解决，我看同学们可以试一试，自己试一试啊，现在呢，提出了一种解决方案，是不是那种方案好使不好使，这个你自己去验证一下看看行不行。

啊好了，这就是给大家讲的这个速度，所以速度呢，这个是个基础知识啊，大家要记住。记住好了，那我们讲到这儿，咱们就先休息一会，待会看帕啊看。