Linux系統(tǒng)安全優(yōu)化之使用sudo提升執(zhí)行權(quán)限

1./etc/sudoers配置文件---------visudo

sudo命令提供一種機(jī)制，只需要預(yù)先在/etc/sudoers配置文件中進(jìn)行授權(quán)，即可以允許特定用戶(hù)以超級(jí)用戶(hù)（或其他普通用戶(hù)）的身份執(zhí)行命令，而該用戶(hù)不需知道root用戶(hù)的密碼（或其他用戶(hù)）的密碼。常見(jiàn)語(yǔ)法格式如下：

user   MACHINE=COMMANDS

user：  授權(quán)指定用戶(hù)

MACHINE主機(jī)：  授權(quán)用戶(hù)可以在哪些主機(jī)上使用

COMMANDS命令：授權(quán)用戶(hù)通過(guò)sudo調(diào)用的命令，多個(gè)命令用 ， 分隔

/etc/sudoers文件配置中的用戶(hù)、主機(jī)、命令三個(gè)部分均為可以自定義別名進(jìn)行代替，格式如下

User_Alias                 OPERATORS=jerry, tom, tsengyia  
 
Host_Alias                 MAILSERVERS=smtp , pop  
 
Cmnd_Alias               SOFTWARE=/bin/rpm , /usr/bin/yum 

2.使用sudo執(zhí)行命令

sudo  -l  :查看當(dāng)前用過(guò)被授權(quán)使用的sudo命令

sudo  -k  :清除timestamp時(shí)間戳標(biāo)記，再次使用sudo命令時(shí)需要重新驗(yàn)證密碼

sudo  -v  :重新更新時(shí)間戳（必要時(shí)系統(tǒng)會(huì)再次詢(xún)問(wèn)用戶(hù)密碼）

案例說(shuō)明：因系統(tǒng)管理工作繁重，需要將用戶(hù)賬號(hào)管理工作交給專(zhuān)門(mén)管理組成員負(fù)責(zé)設(shè)立組賬號(hào) managers ，授權(quán)組內(nèi)的各個(gè)成員用戶(hù)可以添加、刪除、更改用戶(hù)賬號(hào)

（1）       建立管理組賬戶(hù)  managers

#  groupadd  managers

（2）       將管理員賬號(hào)，如wang加入managers組

#  gpasswd  -M  wang.nan  managers

（3）       配置sudo文件，針對(duì)managers組開(kāi)放useradd  、 userdel 等用戶(hù)管理命令的權(quán)限

#  visudo  
 
Cmns_Alias      USERADM  =  /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod  
 
%managers  localhost = USERADM 

（4）       使用wang賬號(hào)登錄，驗(yàn)證是否可以刪除他、添加用戶(hù)

#  su  -  wang  
 
#  whoami  
 
#  sudo  -l  
 
#  sudo  /usr/sbin/useradd  user1  
 
#  sudo  /usr/sbin/usermod  -p  “ “  user1  
 
#  sudo  /usr/sbin/userdel  -r  user1 

Linux系統(tǒng)安全優(yōu)化中使用sudo提升執(zhí)行權(quán)限的配置就向大家介紹完了，希望大家已經(jīng)掌握。

【編輯推薦】 

1. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（1）
2. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（3）
3. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（4）
4. Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化（5）