Linux sudo實現授權

来源:https://www.cnblogs.com/heyongshen/archive/2022/08/03/16547058.html
-Advertisement-
Play Games

sudo:superuser do,實現普通用戶執行root命令的授權工具。 一般用戶管理系統的方式是利用su切換為超級用戶。但是使用su的缺點之一在於必須要先告知超級用戶的密碼。 sudo使一般用戶不需要知道超級用戶的密碼即可獲得許可權 #過程: (1)超級用戶授權:首先 超級用戶 將普通用戶的名字 ...


sudo:superuser do,實現普通用戶執行root命令的授權工具。

一般用戶管理系統的方式是利用su切換為超級用戶。但是使用su的缺點之一在於必須要先告知超級用戶的密碼。

sudo使一般用戶不需要知道超級用戶的密碼即可獲得許可權
#過程:
(1)超級用戶授權:首先 超級用戶 將普通用戶的名字、可以執行的特定命令、按照哪種用戶或用戶組的身份執行等信息,登記在特殊的文件中(通常是/etc/sudoers),即完成對該用戶的授權(此時該用戶稱為“sudoer”);

(2)管理員確認用戶的身份:在一般用戶需要取得特殊許可權時,其可在命令前加上“sudo”,此時sudo將會詢問該用戶自己的密碼(以確認終端機前的是該用戶本人),回答後系統即會將該命令的進程以超級用戶的許可權運行。

(3)以超級用戶身份執行命令:之後的一段時間內(預設為5分鐘,可在/etc/sudoers自定義),使用sudo不需要再次輸入密碼。

sudo的組成:

  • 軟體包

  • 配置文件

  • 授權規則配置文件

軟體包:sudo

配置文件:/etc/sudo.conf  #一般不用修改

授權規則配置文件:#
	/etc/sudoers #這個文件不建議直接改,因為改錯了就會影響授權x
	
	/etc/sudoers.d  #可以把授權文件放在這個目錄下麵,防止所有授權規則放在一起太臃腫
	
	#配置文件中支持使用通配符 glob

安全編輯授權規則文件和語法檢查工具: visudo ≈ vim /etc/sudoers

	/usr/sbin/visudo  #建議這個命令來改用戶的授權,在編輯的時候有語法提示功能,格式錯誤會提示

sudo工具授權文件的編寫格式

#格式:
授權用戶  登入的主機=(代表用戶)   能執行的操作
user      host=(runas)           command

user: 表示給誰授權  #%group 表示對組進行授權

host: 表示在哪個主機登錄 ALL表示所有主機

(runas):表示以哪個用戶的身份運行 一般是root

command: 表示能執行那些操作(命令需要寫絕對路徑) ALL表示所有 

#其中NOPASSWD:command 表示不用驗證這個用戶的密碼
User的形式:
username #用戶名

#uid  #uid的形式

%group_name  #組的形式

%#gid  #gid的形式

host的形式:
ip或hostname  #ip地址或者主機名

network(/netmask)  #ip地址/子網掩碼


command的形式:
command name #命令的名字

directory #這個目錄裡面的所有命令都授權

sudoedit #sudoedit是一個編輯授權配置文件的工具。表示被授權的用戶可以編輯sudo的授權配置文件(/etc/sudoers)
#範例:授權tom用戶具有掛載光碟的功能

tom ALL=(root) /usr/bin/mount /dev/cdrom /mnt

sudo的別名

  • 用戶別名

  • 主機別名

  • 代表者別名

  • 操作別名

sudo授權的時候允許加自定義的別名

四種別名:
User_Alias #被授權的用戶

Runas_Alias #代表誰

Host_Alias  #主機

Cmnd_Alias #執行的操作

#別名必須是大寫字母和數字、下劃線的結合

#定義別名的格式:
定義別名類型 別名的名稱 = 值1,...,值n

範例

User_Alias  NETADMIN= netuser1,netuser2 #定義用戶別名

Cmnd_Alias NETCMD = /usr/sbin/ip,/usr/sbin/ifcon #定義操作別名

NETADMIN ALL=(root) NETCMD

sudo命令:

sudo -i -u tom 切換身份功能和 su 相似,但不一樣  #因為sudo必須提前授權,而且要輸入自已的密碼確認自己的身份,而su的話是需要切換者的密碼。

#su switch user

sudo [-u user] COMMAND

-V 顯示版本信息等配置信息

-u user 預設為root #表示代表誰執行這個操作

-l,ll 列出用戶在主機上可用的和被禁止的命令

-v 再延長密碼有效期限5分鐘,更新時間戳

範例

#修改驗證密碼間隔為2分鐘
[[email protected] ~]#vim /etc/sudoers
	Defaults   env_reset , timestamp_timeout=2

#sudo -V 可以查看用戶的預設時間間隔。
#ubuntu 預設用戶具有sudo許可權

#它是將普通用戶都加到了sudo這個組裡面了。

[email protected]:~# grep %sudo /etc/sudoers

%sudo ALL=(ALL:ALL) ALL #ALL:ALL 任何用戶:任何組
修改ubuntu的visudo的預設編輯器

#ubuntu的visudo預設是使用nano工具打開的

export EDITOR=vim

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • Apache Maven,是一個項目管理及自動構建的工具,有Apache軟體基金會所提供。 Maven是用Java語言編寫的,是一款可以跨平臺的軟體。 Maven解決了軟體構建的兩方面問題:一是軟體是如何構建的,二是軟體的依賴關係。 Maven是以基於插件的架構構建的,這使其能夠使用任何能用標準輸入... ...
  • 隨著線上購物成為了人們的主要消費之一,搭建商城系統也成為一大熱門的發展方向,在現在的電商市場中,經營的主體規模非常龐大,各種各樣的電商系統琳琅滿目,但是只要仔細觀察就會發現,有很大一部分的商城系統風格很相似,同質化現象非常嚴重,容易讓用戶產生審美疲勞,要是選擇進行頁面二次開發,需要花費的精力和成本又 ...
  • 很多時候,我們在本地開發過程中程式運行很正常,但是發佈到線上之後由於環境的原因,可能會有一些異常。通常我們會通過日誌來分析問題,除了日誌還有一種常用的調試手段就是:附加進程。 VS中的附加進程非常強大,目前提供了9種常用的附加方式。 在當前.Net Core支持跨平臺的大背景下,其中Linux環境和 ...
  • 一:背景 1. 講故事 前段時間遇到了好幾起關於窗體程式的 進程載入鎖 引發的 程式卡死 和 線程暴漲 問題,這種 dump 分析難度較大,主要涉及到 Windows操作系統 和 C++ 的基礎知識,所以有必要簡單整理和大家分享一下,上 windbg 說話。 二:WinDbg 分析 1. 主線程此時 ...
  • 經過長時間的規劃和編碼,終於出來了.NET 版本的微服務框架,而且框架的使用簡單,無入侵集成,可幫助任意項目輕鬆向大併發架構演進。 ...
  • 前言 接著上周寫的截圖控制項繼續更新添加 文字。 1.WPF實現截屏「仿微信」 2.WPF 實現截屏控制項之移動(二)「仿微信」 3.WPF 截圖控制項之伸縮(三) 「仿微信」 4.WPF 截圖控制項之繪製方框與橢圓(四) 「仿微信」 5.WPF 截圖控制項之繪製箭頭(五)「仿微信」 6.WPF 截圖控制項之繪 ...
  • 為什麼要用ssh密鑰登錄 購買的伺服器設置密碼很容易被暴力破解,用密鑰登錄安全很多。root用戶新建的用戶也要用密鑰登錄更安全,如果一直su - 用戶名登錄 不方便 用xftp等服務上傳文件到用戶使用的服務下,歸屬人是root,還要chown改許可權才能使用。 為其他用戶創建ssh密鑰的步驟 # 密鑰 ...
  • Naarak Studio DirEqua mac版是Mac的高級目錄比較實用程式。它可以檢測文件夾之間最小的變化,並以清晰直觀的方式顯示結果。使用顏色和圖標突出顯示差異類型(大小,日期或項目內容),以突出顯示差異。DirEqual Mac版將比較的目錄併排顯示為可擴展樹,併為每個項目指示大小和日期 ...
一周排行
    -Advertisement-
    Play Games
  • 使用原因: 在我們服務端調用第三方介面時,如:支付寶,微信支付,我們服務端需要模擬http請求並加上一些自己的邏輯響應給前端最終達到我們想要的效果 1.使用WebClient 引用命名空間 using System.Net; using System.Collections.Specialized; ...
  • WPF 實現帶蒙版的 MessageBox 消息提示框 WPF 實現帶蒙版的 MessageBox 消息提示框 作者:WPFDevelopersOrg 原文鏈接: https://github.com/WPFDevelopersOrg/WPFDevelopers.Minimal 框架使用大於等於.N ...
  • 一、JSON(JavaScript Object Notation)的簡介: ① JSON和XML類似,主要用於存儲和傳輸文本信息,但是和XML相比,JSON更小、更快、更易解析、更易編寫與閱讀。 ② C、Python、C++、Java、PHP、Go等編程語言都支持JSON。 二、JSON語法規則: ...
  • 1.避免Scoped模式註冊的服務變成Singleton模式 當提供一個生命周期模式為Singleton的服務實例時,如果發現該服務中還依賴生命周期模式為Scoped的服務實例(Scoped服務實例將被一個Singleton服務實例所引用),那麼這個被依賴的Scoped服務實例最終會成為一個Sing ...
  • 索引時資料庫提高數據查詢處理性能的一個非常關鍵的技術,索引的使用可以對性能產生上百倍甚至上千倍的影響。接下來,會介紹索引的基本原理、概念,並深入學習資料庫中所使用的索引結構和存儲方式,以及如何管理、維護索引等。 1.索引的基本概念 索引時用來快速查詢表記錄的一種存儲結構,一般使用索引有一下兩個方面: ...
  • django2 路由控制器 Route路由,是一種映射關係。路由是把客戶端請求的url路徑和用戶請求的應用程式,這裡意指django裡面的視圖進行綁定映射的一種關係。 請求路徑和視圖函數不是一一對應的關係 在django中所有的路由最終都被保存到一個叫urlpatterns的文件里,並且該文件必須在 ...
  • 1、我們的目標是獲取微博某博主的全部圖片、視頻 2、拿到網址後 我們先觀察 打開F12 隨著下滑我們發現載入出來了一個叫mymblog的東西,展開響應發現需要的東西就在裡面 3、重點來了!!! 通過觀察發現第二頁比第一頁多了參數since_id 而第二頁的since_id參數剛好在上一頁中能獲取到, ...
  • 一、實現原理 在Servlet3協議規範中,包含在JAR文件/META-INFO/resources/路徑下的資源可以直接訪問。 二、舉例說明 如下圖所示,是我新建的一個Spring Boot Starter項目:zimug-minitor-threadpool,用於實現可配置、可觀測的線程池。其中 ...
  • 精華筆記: static final常量:應用率高 必須聲明同時初始化 由類名打點來訪問,不能被改變 建議:常量所有字母都大寫,多個單詞用_分隔 編譯器在編譯時會將常量直接替換為具體的數,效率高 何時用:數據永遠不變,並且經常使用 抽象方法: 由abstract修飾 只有方法的定義,沒有具體的實現( ...
  • Python有一個for...else語法,它的寫法如下 for i in range(0,100): if i == 3: break else: print("Not found") 該語句表示:若for迴圈遍歷完畢,則執行else部分的語句。也就是說上述代碼不會有任何輸出,而下述代碼會輸出“N ...