Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Ausführliche Erklärung von sudo unter Linux und die detaillierte Konfiguration seiner Konfigurationsdatei /etc/sudoers
In diesem Artikel werden hauptsächlich relevante Informationen zur detaillierten Konfiguration von sudo unter Linux und seiner Konfigurationsdatei /etc/sudoers vorgestellt
Ausführliche Erklärung von sudo unter Linux und die detaillierte Konfiguration seiner Konfigurationsdatei /etc/sudoers
1.sudo-Einführung
sudo ist ein unter Linux häufig verwendetes Tool, das es normalen Benutzern ermöglicht, Superuser-Rechte zu verwenden. Es ermöglicht Systemadministratoren, normalen Benutzern die Ausführung einiger oder aller Root-Befehle wie halt, reboot, su usw. zu ermöglichen. Dies reduziert nicht nur die Anmelde- und Verwaltungszeit des Root-Benutzers, sondern verbessert auch die Sicherheit. Sudo ist kein Ersatz für die Shell, sondern für jeden Befehl.
Zu seinen Hauptfunktionen gehören die folgenden:
§ sudo kann Benutzer darauf beschränken, bestimmte Befehle nur auf einem bestimmten Host auszuführen.
§ sudo stellt umfangreiche Protokolle bereit, die detailliert aufzeichnen, was jeder Benutzer getan hat. Es kann Protokolle an einen zentralen Host oder Protokollserver übertragen.
§ sudo verwendet zeitgestempelte Dateien, um ein ähnliches System zur „Ticketprüfung“ durchzuführen. Wenn der Benutzer sudo aufruft und sein Passwort eingibt, wird ihm ein Ticket mit einer Gültigkeitsdauer von 5 Minuten ausgestellt (dieser Wert kann zur Kompilierzeit geändert werden).
§ Die sudo-Konfigurationsdatei ist die sudoers-Datei, die es Systemadministratoren ermöglicht, Benutzerberechtigungen und Hosts zentral zu verwalten. Der Standardspeicherort ist /etc/sudoers und das -Attribut muss 0411 sein.
2. Konfigurationsdatei/etc/sudoers
Die Hauptkonfigurationsdatei ist sudoers, die sich unter Linux normalerweise im Verzeichnis /etc befindet Nach dem Kompilieren von und der Installation von wird Sudo normalerweise im Verzeichnis etc des Installationsverzeichnisses installiert. Unabhängig davon, wo sich die sudoers-Datei befindet, stellt sudo bereit ein Befehl zum Bearbeiten der Datei: visudo zum Ändern der Datei. Es wird dringend empfohlen, diesen Befehl zum Ändern von sudoers zu verwenden, da er Ihnen hilft, zu überprüfen, ob die Dateikonfiguration korrekt ist. Wenn sie falsch ist, werden Sie beim Speichern und Beenden gefragt, welche Konfiguration falsch ist.
Zurück zum Geschäft: So konfigurieren Sie Sudoers
Schreiben Sie zunächst die Standardkonfiguration von Sudoers:
############################################################# # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # Defaults specification # User privilege specification root ALL=(ALL) ALL # Uncomment to allow people in group wheel to run all commands # %wheel ALL=(ALL) ALL # Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL # Samples # %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom # %users localhost=/sbin/shutdown -h now ##################################################################
1. Die einfachste Konfiguration, die normale Benutzer unterstützen können root Alle Berechtigungen
Nach der Ausführung von visudo können Sie sehen, dass es nur eine Standardkonfiguration gibt:
root ALL=(ALL) ALL
Dann fügen Sie unten eine Konfiguration hinzu:
support ALL=(ALL) ALL
Auf diese Weise können normale Benutzer Support ausführen Alle Befehle mit Root-Berechtigungen
Nachdem Sie sich als Support-Benutzer angemeldet haben, führen Sie Folgendes aus:
sudo su -
Geben Sie dann das eigene Passwort des Support-Benutzers ein, um zum Root-Benutzer zu wechseln
2 Erlauben Sie dem normalen Benutzer-Support, nur bestimmte Befehle auszuführen, die Root auf bestimmten Servern ausführen kann
Zuerst müssen Sie einige Alias konfigurieren. Dies ist bei der Konfiguration der folgenden Berechtigungen praktischer, ohne dass große Konfigurationsabschnitte geschrieben werden müssen. Alias werden hauptsächlich in 4 Typen unterteilt
Host_Alias Cmnd_Alias User_Alias Runas_Alias
1) Host_Alias konfigurieren: Es ist die Liste der Hosts
Host_Alias HOST_FLAG = Hostname1, Hostname2, hostname3
2) Cmnd_Alias konfigurieren: Dies ist die Liste der Befehle, die ausgeführt werden dürfen
Cmnd_Alias COMMAND_FLAG = command1, command2, command3
3 ) User_Alias konfigurieren: Es handelt sich um eine Liste von Benutzern mit Sudo-Berechtigungen
User_Alias USER_FLAG = user1 , Benutzer2, Benutzer3
4) Konfigurieren Sie Runas_Alias: Es handelt sich um eine Liste der Identität des Benutzers (z. B. Root oder Oracle)
Runas_Alias RUNAS_FLAG = Operator1, Operator2, Operator3
5) Berechtigungen konfigurieren
Das Format der Konfigurationsberechtigungen ist wie folgt:
USER_FLAG HOST_FLAG=(RUNAS_FLAG) COMMAND_FLAG
Wenn keine Passwortüberprüfung erforderlich ist, konfigurieren Sie sie in diesem Format
USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: COMMAND_FLAG
Konfigurationsbeispiel:
############################################################################ # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification Host_Alias EPG = 192.168.1.1, 192.168.1.2 # User alias specification # Cmnd alias specification Cmnd_Alias SQUID = /opt/vtbin/squid_refresh, /sbin/service, /bin/rm # Defaults specification # User privilege specification root ALL=(ALL) ALL support EPG=(ALL) NOPASSWD: SQUID # Uncomment to allow people in group wheel to run all commands # %wheel ALL=(ALL) ALL # Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL # Samples # %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom # %users localhost=/sbin/shutdown -h now ##################################################
Das obige ist der detaillierte Inhalt vonAusführliche Erklärung von sudo unter Linux und die detaillierte Konfiguration seiner Konfigurationsdatei /etc/sudoers. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!