sudo权限管理

原创 已于 2024-08-06 19:06:26 修改 · 4.1k 阅读 · 19 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#visudo #sudo #sudoers #runuser #su
于 2023-01-28 18:35:38 首次发布

su命令和sudo及runuser命令

sudo、su和su -的区别

https://linux.cn/article-8404-1.html


su

参数解释
-m,-p执行su时不会改变环境变量
-s指定要执行的shell(bash csh tcsh 等)
-c变更账号为USER的使用者并在执行完command后变为原使用者
-f不需要读启动档,仅用于 csh 或 tcsh
  • su
    su命令在切换用户时,仅切换root用户身份,但shell环境仍为普通用户;
    root切换普通用户不需要密码;
    普通用户切换用户是需要输入密码的
# 切换用户,但保留当前用户的变量信息
su 用户名

su -

  • su -
    su –命令在切换用户时,用户身份和shell环境都会切换为root用户;
    su - 表示完全变更,不保留原用户的任何原始属性;
    是完全切换到新用户,包括环境变量也是变更的.
# 完全切换用户
su - 用户名

sudo

sudo命令可以允许普通用户执行管理员账户才能执行的命令

su命令有一个致命的问题:一定要输入密码,这时候用sudo命令;
如果其他同事用su命令切换你的账户,你必须得把密码告诉他,他才能切换成功;
如果即想其他用户完成这个工作,又不想要他完全变更到你的账号身份下,这时候用sudo命令可以解决这个问题.

sudo可以精确的控制其他用户可以提权某个命令进行放行;
sudo是个服务,需要编辑配置文件/etc/sudoers;
或者使用visduo命令进行配置sudo服务.

参数解释
-h显示版本号以及指令的使用说明
-k使使用者在下次执行sudo时询问密码
-l显示使用者的权限
-L显示sudos设置

sudo -s

参考: https://www.v2ex.com/t/885106#reply3
sudo -s 不会执行 profile ;会执行 rc.


sudo -i

-i 参数(即 sudo -i ),在 sudo 的 man page 里指明了,会加载 .profile,.bash_profile.login ,root变量将被shell读取 , 同时呢,会跳到 /root 目录。


sudo -u以指定用户运行命令

sudo -u 用户名 要执行的命令

在这里插入图片描述

sudo -l验证 SUDOERS 组成员

# 验证 SUDOERS 组成员
sudo -l -U 用户名

在这里插入图片描述


runuser命令

用法:
 runuser [选项] -u <USER> COMMAND
 runuser [选项] [-] [USER [参数]...]

以有效 <USER> 用户 id 和组 id 运行 COMMAND 命令。如果未给出 -u,
将退而使用与 su(1) 兼容的语法并执行 shell。
-l、-c、-f、-s 与 -u 相互排斥。

选项:
 -u, --user <用户>               用户名
 -m, -p, --preserve-environment  不重置环境变量
 -g, --group <>             指定主组
 -G, --supp-group <>        指定一个辅助组

 -, -l, --login                  使 shell 成为登录 shell
 -c, --command <命令>            使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                 而不创建新会话
 -f, --fast                      向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>             若 /etc/shells 允许,则运行 shell

 -h, --help     显示此帮助并退出
 -V, --version  输出版本信息并退出

以指定用户运行某个命令

# root用户下指定admin执行命令
# runuser -l 指定用户 -c '要执行的命令'
## -l 指定用户
## -c 要执行的命令
runuser -l admin -c 'id'

# 示例:
sudo runuser -l USER1 --group=GROUP1 -c "cd WD && ENVFILE_CONTENTS ENV COMMAND"

在这里插入图片描述


配置visudo

https://blog.51cto.com/chenfage/1830424
在这里插入图片描述
在大约99行添加配置信息
第一段 表示允许提权的用户
第二段 ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段 允许放行的命令(绝对路径),多个命令可以用逗号(,)隔开

例如:

# 允许lisi用户通过sudo 执行poweroff命令
## 没有NOPASSWD:表示要输入密码
lisi  ALL=(ALL)  /usr/sbin/poweroff

# 允许bai用户执行iptables命令
## NOPASSWD:/usr/sbin/iptables表示执行iptables不需要输入密码
bai ALL=(ALL) NOPASSWD:/usr/sbin/iptables
代授权的用户或组来源机器= (授权角色)是否免密码:可以执行的命令
lisiALL= (ALL)/usr/sbin/poweroff
baiALL= (ALL)NOPASSWD:/usr/sbin/iptables

仅允许字符终端登陆(tty)–授权localhost

非ssh可执行的命令

# 用户名 本地登陆用localhost=命令绝对路径
## 没有NOPASSWD:表示要输入密码
## user1用户允许localhost登录,能通过sudo 运行yum命令,需要输入密码
user1 localhost=/usr/bin/yum
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
zhangsanlocalhost=/usr/bin/yum

允许图形和tty登陆–授权all

ssh和localhost登录都可以执行

# 用户名  要执行的命令		免密码
## user1用户允许本地和ssh登录,能通过sudo允许yum命令不需要输入密码
user1 ALL=/usr/bin/yum NOPASSWD:ALL
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
user1ALL=/usr/bin/yumNOPASSWD:ALL

用户组提权-示例配置

用户组提权配置只需要在用户组前加上%

# %组名	ALL=(主机来源)	命令绝对路径
%gourp 	ALL=(ALL)		/usr/bin/yum
%组名来源机器=(授权角色)可以执行的命令免密码
%sudoALL=(ALL)/usr/bin/yumNOPASSWD:ALL

sudoers.d目录下创建授权文件–推荐

sudoers.d目录下文件权限一定要0440

# sudoers.d目录下文件设为0440
chmod 0440 /etc/sudoers.d/*

示例:

# 创建hadoop用户
## -d 指定用户登入时的起始目录
## -m 自动创建用户的登入目录
sudo useradd -d /home/hadoop -m hadoop

# 配置hadoop用户的权限
echo "hadoop ALL = (root) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/hadoop

# 配置hadoop的sudo配置文件权限
sudo chmod 0440 /etc/sudoers.d/hadoop

在这里插入图片描述

代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
hadoopALL = (root)NOPASSWD: ALL

五段式配置

# 给devops创建授权文件,设置文件权限0400
cd /etc/sudoers.d && touch devops && chmod 0440 devops && vim devops

# 将配置文件添加到devops文件中,当执行sudo updatedb命令时免密码
devops ALL=(ALL) NOPASSWD:/usr/bin/updatedb
代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
devopsALL=(ALL)/usr/bin/updatedbNOPASSWD: /usr/bin/updatedb

第一段: 表示允许提权的用户,%sudo代表sudo组
第二段: ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段:表示sudo可以切换到什么用户。ALL表示所有用户
第四段:表示sudo可以切换到哪些组下的用户。ALL表示所有组
第五段:表示sudo之后能够执行的命令(绝对路径)。NOPASSWD:ALL表示执行任意命令都不需要密码

代授权的用户或组来源机器=(授权角色)可以执行的命令免密码
devopsALL=(ALL)NOPASSWD: ALL

三段式配置

第一段: 表示允许提权的用户,%sudo代表sudo组
第二段: ALL=(ALL) 这里第一个ALL可以指定主机来源,参数有localhostIP地址,ALL
第三段: 允许放行的命令(绝对路径),多个命令可以用逗号(,)隔开

# 允许执行所有sudo命令不需要输入密码
devuser ALL=(ALL) NOPASSWD:ALL
代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
devopsALL= (ALL)NOPASSWD: ALL

检查sudoers配置是否有误

https://www.linuxcool.com/visudo

# 检查文件格式是否有误
visudo -c /etc/sudoers.d/devops

在这里插入图片描述

# 严格检查sudoers文件
visudo -s

如何在sudo运行的命令中防止使用参数

参考: https://linux.cn/article-15106-1.html

visudoroot用户身份编辑/etc/sudoers文件.
命令行后添加 ""防止使用参数

# 命令行后添加 ""防止使用参数
user1   ALL=(root)      /usr/bin/ls ""

# 用户设为ALL命令行后添加 ""防止使用参数
ALL   ALL=(root)      /usr/bin/ls ""
代授权的用户或组来源机器= (授权角色)免密码:可以执行的命令
user1ALL = (root)/usr/bin/ls “”

在这里插入图片描述


结果验证

在这里插入图片描述

Linux权限命令-sudo权限详解
鹅不糊涂的博客
05-19 3万+
本文将为初学者详细解释 Linux 系统下的 sudo 命令,完整阐述其用途、应用场景和实现方法。sudo 命令可以帮助你更好地管理系统。如果你是一名正在探索 Linux 的爱好者,那么本文将是你不可错过的入门指南!
Linux命令susudosudo susudo -i使用和区别
qq_40907977的博客
09-13 7359
sudosu 两个命令的最大区别是: sudo 命令需要输入当前用户的密码, su 命令需要输入 root 用户的密码。 另外一个区别是其默认行为。 sudo 命令只允许使用提升的权限运行单个命令, 而 su 命令会启动一个新的 shell,同时允许使用 root 权限运行尽可能多的命令,直到明确退出登录。 su 用以切换成不同的用户的身份 默认只是切换身份,并没有切换环境变量,环境变量依然是普通用户的。切换用户身份时,用户的环境变量也切换成新用户的环境变量,所以"-"不能省略,不然有些操作无法
Linux上sudo提权使用方法简介
树下一少年的博客
01-09 1万+
本文详细介绍了在CentOS7系统中配置sudo权限的方法。主要内容包括:1.通过编辑/etc/sudoers文件或使用visudo命令为用户分配sudo权限;2.配置免密码sudo操作;3.测试和验证sudo配置效果;4.介绍常用sudo命令参数,如-h查看帮助、-l列出权限、-u指定用户执行命令、-k临时要求密码验证等。文中提供了具体操作步骤和示例,帮助管理员为普通用户配置提权操作,同时确保系统安全性。
sudo 命令详解:Linux 权限管理的“万能钥匙“
最新发布
【javatoai17819112191】→Java && python && AI Agent工程师
04-10 596
🔐 sudo 命令详解:Linux 权限管理的"万能钥匙" 摘要 sudo 是 Linux 系统中允许普通用户临时获得管理员(root)权限执行特定操作的重要命令。它比直接使用 root 账号更安全,遵循最小权限原则,所有操作都会被记录。sudo 通过 /etc/sudoers 配置文件管理权限分配,支持精细控制哪些用户可以执行哪些命令。常见使用场景包括安装软件、管理系统服务、编辑配置文件等。使用 sudo 时应注意安全规范,避免授予过多权限,并定期检查操作日志。相比 su 命令,su
sudo 命令、配置
赶路人儿
04-27 2万+
一、su 命令 su命令是用来切换用户。如果超级权限用户root向普通用户切换不需要密码;而普通用户切换到其它任何用户都需要密码验证(A用户切换到B时,需要输入B的密码)。 1、su 的用法: su [OPTION选项参数] [用户],参数说明: - 或者 -l:登录并改变到所切换的用户环境; -c: 切换到对应的用户环境,执行一个命令,然后退出; 注意: su 在不加任何参数,默认为...
susudosudo susudo -i的用法和区别
热门推荐
huang_shao1的博客
10-07 8万+
su root  输入root密码后切换之root用户但是pwd目录不变 su - root  输入root密码后切换之root用户但是pwd目录/root sudo 一般加的是命令 sudo -i root与sudo - root、sudo -i ,sudo -sudo root效果相同     提示输入密码时该密码为当前账户的密码  要求执行该命令的用户必须在sudoers中才可以 ...
linux-用户与权限管理-sudo 权限管理
Flying_Fish_roe的博客
09-18 1087
在Linux操作系统中,用户和权限管理是确保系统安全与稳定运行的关键组成部分。每个Linux系统中,用户被分配不同的角色和权限,基于这些权限执行不同的任务。权限管理的核心是文件和目录的访问控制,以及如何授予用户以执行特定命令的权限。sudosuperuser do)是Linux系统中用于以超级用户权限执行命令的工具。与直接切换到root用户不同,sudo可以在当前会话中暂时提升权限,执行特定的命令而不需要完全切换用户。这一机制提高了系统的安全性,因为用户不需要知道root。
sudo命令及权限管理命令
weixin_45440548的博客
03-11 4468
一、sudo命令 概念: sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等。这样不仅减少了root用户的登录和管理时间,同样也提高了安全性。sudo不是对shell的一个代替,它是面向每个命令的。 特性: 1、sudo能够限制用户只在某台主机上运行某些命令 2、sudo提供了丰富的日志,详...
Linux权限管理susu -sudosudo su - 的实战场景解析
flink9streamer的博客
03-03 643
本文深入解析Linux中susu -sudosudo su -四个权限管理命令的核心差异与实战应用。通过环境变量、权限时效性和安全边界等关键维度对比,结合磁盘排查、服务部署等具体场景,指导运维人员根据任务需求选择最安全高效的命令,并强调遵循最小权限原则等安全最佳实践。
从 Linux 权限管理历史看 sudoSUID 和 Capability 的演进
vortex5的博客
02-22 1967
未来,随着安全要求的提高,Capability 将逐步取代 SUID,成为 Linux 权限管理的最佳实践。,然后只赋予程序所需的特定权限,而不是整个 root 权限。、SUID 和 Capability 的发展过程,并详细分析它们的区别和应用场景。通常用于允许普通用户执行部分管理任务,而无需手动提升权限。机制以实现最小权限原则,权限控制方式逐步演进,以满足不同安全需求。在 Linux 操作系统中,权限管理是安全体系的核心。本文将从 Linux 权限管理的历史出发,介绍。的精细化权限管理,最终发展到。
Windows Sudo 与 Linux Sudo 终极对比:两大平台权限管理完全指南 [特殊字符]
gitblog_01089的博客
12-24 508
作为Windows用户,你是否曾经羡慕Linux系统上那个简单却强大的`sudo`命令?现在微软终于为Windows带来了原生的**Sudo for Windows**功能!本文将深入对比Windows Sudo与Linux Sudo权限管理机制、使用场景和功能特性上的核心差异,帮助你全面掌握两大平台的权限管理技巧。 ## 🔥 Windows Sudo 的诞生:微软的权限管理革命 Wind
如何在Windows系统中优雅地使用sudo:完整权限管理指南
gitblog_00264的博客
04-01 1182
sudo命令是类Unix系统中管理权限的强大工具,而现在Windows用户也能体验类似功能了!本文将详细介绍Windows版sudo的安装方法、使用技巧以及背后的权限继承与环境变量处理机制,帮助你在Windows系统中更安全高效地执行管理员任务。 ## 认识Windows sudo:它能解决什么问题? Windows系统传统的权限管理方式往往需要手动右键选择"以管理员身份运行",这种方式不仅繁
Linux基础-权限管理-sudo授权
weixin_43894981的博客
06-03 713
2、创建其他的用户,添加到sudo组中,ssh服务中增加”允许root用户登录“策略(修改sshd_config配置信息),并为root设置密码。/etc/shadow未设置密码,由于sshd的策略,root不可直接登陆服务器。/etc/ssh/sshd_config (sshd配置文件) --是否有登录策略。1、在ubuntu中不同于centos,用户属于sudo组,则拥有所有权限。1、linux服务器中,sshd进程负责远程ssh登录,并监听22端口。/etc/passwd --是否有用户信息。
使用sudo对用户进行权限管理
leipeng010的博客
03-26 780
使用sudo对用户进行权限管理 因为root用户权限太大,一般在实际应用的时候 ,为了避免造成错误泛滥和找不到责任人,都需要对使用服务器人员进行权限分配,除了系统管理员外,其他人禁止使用root,但可以通过sudo命令,给自己提权。同时通过日志审计进行监控操作,操作如下:禁止普通用户使用su命令到root # usermod -g wheel user01 # vim /etc/pam.d/su a
Linux sudo权限管理的脚本
二十七杯奶茶
09-14 1203
最近在做一个管理linux权限管理的系统,涉及到用户可以向系统申请登录,并获取sudo权限,这一块用shell是最好的选择,为了备忘,将其记录下来: 1、为用户添加sudo权限 流程:利用linux会去读取/etc/sudoer.d/下面的文件,将其作为sudo权限的列表,所以先在该文件下创建一个“sudoser”的文件,判断该文件是否存在,如果不存在,则创建,如果存在先判断该
29、用户、组与权限管理:chown、chmod 及 sudo 全解析
tech5的博客
07-21 164
本文深入解析了Linux及Mac OS X系统中的用户、组与权限管理,详细介绍了chown更改文件所有者、chmod修改权限以及sudo获取更高权限的使用方法。涵盖了符号模式与绝对模式的权限设置、递归操作、粘滞位设置以及sudo的安全配置与最佳实践,是系统管理员和开发者必备的权限管理指南。
深入理解sudo权限管理技巧
weixin_29867767的博客
04-11 979
本文深入探讨了Linux系统中sudo命令的高级权限管理技巧。通过具体的章节内容,详细阐述了如何强制密码认证、基于主机授权、授权给用户组、运行目录内程序、禁止命令行参数、通过群组共享文件、限制root用户权限以及安全终止进程等高级配置,旨在帮助系统管理员更加安全有效地管理Linux系统权限。
Sudo权限管理
飞翔的荷兰人
05-30 1419
简介:1. sudo能够限制指定用户在指定主机上运行某些命令。 2. sudo可以提供日志,忠实地记录每个用户使用sudo做了些什么,并且能将日志传到中心主机或者日志服务器。 3. sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。 4.sudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

您的赞赏,是我深夜码字时最亮的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值