ホームページ >運用・保守 >Linuxの運用と保守 >Linux での sudo の詳細な説明とその設定ファイル /etc/sudoers の詳細な設定

Linux での sudo の詳細な説明とその設定ファイル /etc/sudoers の詳細な設定

黄舟
黄舟オリジナル
2017-06-04 11:18:332093ブラウズ

この記事では主に、Linux での sudo の詳細な設定とその設定ファイル/etc/sudoers に関する関連情報を紹介します。必要な方は、

Linux での sudo とその設定ファイルの詳細な説明/詳細な設定を参照してください。 etc/sudoers

1. sudo の概要

sudo は、一般ユーザーがスーパー ユーザー権限を使用できるようにする Linux で一般的に使用されるツールで、システム管理者が一部またはすべての root コマンドを実行できるようにします。停止、再起動、suなど。これにより、root ユーザーのログインと管理時間が短縮されるだけでなく、セキュリティも向上します。 Sudo はシェルの代わりではなく、各コマンドの代わりになります。

その主な機能は次のとおりです:

§ sudo は、ユーザーが特定のコマンドを特定のホスト上でのみ実行するように制限できます。

§ sudo は豊富なログを提供し、各ユーザーが行ったことを詳細に記録します。ログを中央ホストまたはログ サーバーに送信できます。

§ sudo は、

timestamp

ファイルを使用して、同様の「チケットチェック」システムを実行します。ユーザーが sudo を呼び出してパスワードを入力すると、有効期間が 5 分のチケットが発行されます (この値はコンパイル時に変更できます)。 § sudo 設定ファイルは sudoers ファイルで、システム管理者はこれを使用してユーザーの権限とホストを一元管理できます。デフォルトの保存場所は /etc/sudoers で、

属性

は 0411 である必要があります。

2. 設定ファイル /etc/sudoers


その主な設定ファイルは、通常、Linux の /etc ディレクトリにあります。solaris の場合、デフォルトでは sudo はインストールされません。これは通常、インストール ディレクトリの etc ディレクトリの下にあります。sudoers ファイルがどこにあるかに関係なく、sudo はファイルを編集するためのコマンド visudo を提供して、ファイルを変更します。ファイル構成が正しいかどうかを確認するのに役立つため、このコマンドを使用して sudoers を変更することを強くお勧めします。ファイル構成が正しくない場合は、保存して終了するときにどの構成が間違っているかを確認するメッセージが表示されます。

本題に戻り、sudoers の設定方法を紹介しましょう最初に sudoers のデフォルト設定を書きます:

############################################################# 
# sudoers file. 
# 
# This file MUST be edited with the 'visudo' command as root. 
# 
# See the sudoers man page for the details on how to write a sudoers file. 
# 

# Host alias specification 

# User alias specification 

# Cmnd alias specification 

# Defaults specification 

# User privilege specification 
root  ALL=(ALL) ALL 

# Uncomment to allow people in group wheel to run all commands 
# %wheel    ALL=(ALL)    ALL 

# Same thing without a password 
# %wheel    ALL=(ALL)    NOPASSWD: ALL 

# Samples 
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom 
# %users localhost=/sbin/shutdown -h now 
##################################################################
1 最も単純な設定では、通常のユーザー サポートが root のすべての権限を持つことができます visudo を実行すると、次のことがわかります。デフォルトの設定は 1 つの設定のみであることを確認します:

root ALL=(ALL) ALL


次に、以下に別の設定を追加します:


support ALL=(ALL) ALL

このように、通常のユーザーは root 権限でサポートを実行できます

サポート

ユーザー
としてログインした後、次のコマンドを実行します:

sudo su -

その後、サポート ユーザー自身のパスワードを入力して root ユーザー 2 に切り替えます一般ユーザーのサポートは、root が特定のサーバー上で実行できる特定のコマンドのみを実行できるようにします。まず、以下の権限を設定するときに、大規模な設定セクションを記述する必要がなく、より便利です。 Aliasは主に4種類に分かれます

Host_Alias 
Cmnd_Alias 
User_Alias 
Runas_Alias

1) Configure Host_Alias: ホストの一覧です


Host_Alias HOST_FLAG = hostname1, hostname2, hostname3

2) Configure Cmnd_Alias: 一覧です実行を許可されるコマンドの数

Cmnd_Alias COMMAND_FLAG = command1, command2, command3


3) User_Alias の設定: sudo 権限を持つユーザーのリストです

User_FLAG = ユーザー1、 user2, user3

4) Runas_Alias を設定します: つまり、実行する ID のユーザーリスト (root や oracle など)

Runas_Alias RUNAS_FLAG = Operator1, Operator2, Operator3

5) 権限を設定します

設定権限の形式は次のとおりです:


USER_FLAG HOST _FLAG= (RUNAS_FLAG) COMMAND_FLAG

パスワードの検証が必要ない場合は、この形式で設定します


USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: COMMAND_FLAG


設定例:

############################################################################
# sudoers file. 
# 
# This file MUST be edited with the 'visudo' command as root. 
# 
# See the sudoers man page for the details on how to write a sudoers file. 
# 

# Host alias specification 
Host_Alias   EPG = 192.168.1.1, 192.168.1.2 

# User alias specification 

# Cmnd alias specification 
Cmnd_Alias   SQUID = /opt/vtbin/squid_refresh, /sbin/service, /bin/rm 

# Defaults specification 

# User privilege specification 
root  ALL=(ALL) ALL 
support EPG=(ALL) NOPASSWD: SQUID 

# Uncomment to allow people in group wheel to run all commands 
# %wheel    ALL=(ALL)    ALL 

# Same thing without a password 
# %wheel    ALL=(ALL)    NOPASSWD: ALL 

# Samples 
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom 
# %users localhost=/sbin/shutdown -h now 
##################################################

以上がLinux での sudo の詳細な説明とその設定ファイル /etc/sudoers の詳細な設定の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。