CentOS下的sudo相关配置的总结归纳

1 基础部分

1.1 常用的命令行

 
        man 
        sudoers 
        #参阅帮助 
       
 
        visudo 
        #编辑sudoers的命令 
       
 
        sudo 
        -l 
        #查看可执行或禁止执行的命令 
       
 
        sudo 
        -uuser1 
        /bin/ls 
        #指定user1用户的身份执行命令 
       
 
        sudo 
        -ggp1 
        /bin/ls 
        #指以gp1组的身份执行 
       
 
        sudo 
        -uuser1-ggp1 
        /bin/ls 
        #指定用户和组的身份执行 
       

1.2 配置文件路径

 
        /etc/sudoers

1.3 sudoers的规则分类

sudoers的规则分为以下两类：

1）别名定义（可选）

2）授权规则（必选）

1.4 特殊符号的用法

 
        "#" 
        用于注释 
       
        "\x" 
        转义字符 
       
        "\"使用到物理行行尾则把下行的物理行连接成一个逻辑行 
       
        "*" 
        匹配零个或多个字符 
       
        "?" 
        匹配单个字符 
       
        "[...]" 
        匹配指定范围的字符 
       
        "[!...]" 
        匹配非指定范围的字符

2 Alias（别名）

2.1 别名的类型

包含以下四种别名：User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias

注：以上别名类型的书写大小写敏感

 
        Alias::= 
        'User_Alias' 
        User_Alias( 
        ':' 
        User_Alias)*| 
       
        'Runas_Alias' 
        Runas_Alias( 
        ':' 
        Runas_Alias)*| 
       
        'Host_Alias' 
        Host_Alias( 
        ':' 
        Host_Alias)*| 
       
        'Cmnd_Alias' 
        Cmnd_Alias( 
        ':' 
        Cmnd_Alias)*

2.2 别名的定义格式

2.2.1 单个别名的书写方式

 
        Alias_TypeNAME=item1,item2,...

注：别名成员以“,”号分隔

2.2.2 多个别名的书写方式

 
        Alias_TypeNAME=item1,item3:NAME=item4,item5

注：以“:”号分隔

2.2.3 四种书写简式

 
        User_Alias::=NAME 
        '=' 
        User_List 
       
        Runas_Alias::=NAME 
        '=' 
        Runas_List 
       
        Host_Alias::=NAME 
        '=' 
        Host_List 
       
        Cmnd_Alias::=NAME 
        '=' 
        Cmnd_List

2.3 别名定义NAME的有效字符

 
        NAME::=[A-Z]([A-Z][0-9]_)*

2.4 常见的定义范例

2.4.1 命令行别名的定义范例

作用：定义用户别名和别名中包含能否运行的命令

范例：

 
   
    
      
      
        ##Networking 
       
 
        Cmnd_AliasNETWORKING= 
        /sbin/route 
        , 
        /sbin/ifconfig 
        , 
        /bin/ping 
        , 
        /sbin/dhclient 
        , 
        /usr/bin/net 
        , 
        /sbin/iptables 
        , 
        /usr/bin/rfcomm 
        , 
        /usr/bin/wvdial 
        , 
        /sbin/iwconfig 
        , 
        /sbin/mii-tool 
       
 
    
 
   
 

2.4.2 用户别名的定义范例

作用：定义用户别名和别名中包含的用户或组

 
        ##UserAliases 
       
        User_AliasNETWORKINGADMINS=user1,user2,%gp1

注：

1）组前面加“%”号

2）用户名必须是系统有效的用户

2.4.3 主机别名的定义范例

作用：定义主机别名和别名中包含的主机

范例：

 
        ##HostAliases 
       
        Host_AliasFILESERVERS=fs1,fs2

注：

1)服务器fs1和fs2属于FILESERVERS组

2)主机可以是主机名称、IP(192.168.0.8)、或网段（192.168.0.0/24）、子网掩码(255.255.255.0)

3 授权规则

3.1 授权规则的格式

 
        ##Nextcomesthemainpart:whichuserscanrunwhatsoftwareon 
       
        ##whichmachines(thesudoersfilecanbesharedbetweenmultiple 
       
        ##systems). 
       
        ##Syntax: 
       
        ## 
       
        ##userMACHINE=COMMANDS 
       
        ## 
       
        ##TheCOMMANDSsectionmayhaveotheroptionsaddedtoit. 
       
        ## 
       
        ##Allowroottorunanycommandsanywhere

其实就这个意思：

1	`用户名或%组名可管理的主机名称=能否运行的命令`

注：以上都可以使用别名代替

3.2 授权规则的范例

3.2.1 不使用别名的定义方式

基于系统用户名的定义

 
        user1fs1= 
        /sbin/mount 
        /mnt/cdrom 
        , 
        /sbin/umount 
        /mnt/cdrom

基于系统组的定义

 
        %gp1fs1= 
        /sbin/mount 
        /mnt/cdrom 
        , 
        /sbin/umount 
        /mnt/cdrom

使用ALL关键字的定义

 
        rootALL=(ALL)ALL

3.2.2 使用别名的定义方式

 
        NETWORKINGADMINSFILESERVERS=(NETWORKADMINS)

注：

1）NETWORKINGADMINS代表定义过的用户或组：user1,%gp1

2）FILESERVERS代表定义过的服务器：fs1,fs2

3）NETWORKADMINS代表定义过的命令：/sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool

3.2.3 关闭密码验证提示

在命令列前加入关键字“NOPASSWD: ”，详细如下：

@H_301_1056@

1	`%wheelALL=(ALL)NOPASSWD:ALL`

此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示：

怎样？脑洞大开吧？sudo是相对安全的对吧？O(∩_∩)O哈哈~

CentOS下的sudo相关配置的总结归纳

猜你在找的CentOS相关文章