sudo命令使用的幾個場景

散盡浮華發表於2016-12-03

 

在linux系統下,普通使用者無法直接執行root使用者許可權下的命令,如果想讓普通使用者執行只有root使用者才能執行的操作命令。
下面羅列下經常使用sudo命令的幾個場景:

1.使用者無許可權執行root命令
普通使用者登入 shell 之後,如果自身沒有許可權訪問某個檔案或執行某個命令時,若該使用者獲得root授權,那麼就可以在需要執行的命令之前加上 sudo,臨時切換到root使用者的許可權,完成相關的操作。在sudo於1980年前後被寫出之前,一般使用者管理系統的方式是利用su切換為超級使用者。但是使用su的缺點之一在於必須要先告知超級使用者的密碼,而sudo使一般使用者不需要知道超級使用者的密碼即可獲得許可權。

那麼哪些使用者可以臨時獲得root許可權呢?這就需要在/etc/sudoers檔案中進行配置(或者直接使用visudo命令,不過只能在root使用者下執行):
(1)授權給單個使用者:
[root@test-huanqiu ~]# visudo
.....
# User privilege specification
wangshibo ALL=(ALL) ALL
引數解釋:
1)第一個欄位wangshibo指定的是使用者:可以是使用者名稱,也可以是別名。每個使用者設定一行,多個使用者設定多行,也可以將多個使用者設定成一個別名後再進行設定。
2)第二個欄位ALL指定的是使用者所在的主機:可以是ip,也可以是主機名,表示這個sudo設定後的檔案即/etc/sudoers只在這個主機上生效,ALL表示在所有主機上都生效!限制的一般都是本機,也就是限制使用這個檔案的主機;如果指定為"192.168.1.88="表示這個檔案只有在這臺主機上生效,如果拷貝到別的機子上是不起作用的!一般都指定為"ALL"表示所有的主機,不管檔案拷到那裡都可以用。
3)第三個欄位(ALL)括號裡指定的也是使用者:指定以什麼使用者身份執行sudo,即使用sudo後可以享有所有賬號下的許可權。如果要排除個別使用者,可以在括號內設定,比如ALL=(ALL,!root,!ops)。也可以設定別名
4)第四個欄位ALL指定的是執行的命令:即使用sudo後可以執行所有的命令。也可以設定別名。NOPASSWD: ALL表示使用sudo的不需要輸入密碼。

如果我們想讓使用者wangshibo只能在本主機(主機名為test-huanqiu)以root賬戶執行/bin/chown、/bin/chmod 兩條命令,那麼就應該這樣配置:
[root@test-huanqiu ~]# visudo
.......
# User privilege specification
wangshibo test-huanqiu=(root) /bin/chown,/bin/chmod
如果wangshibo使用者登入之後執行sudo命令,不滿足上面三個條件命令均失敗。

(2)授權給使用者組:
[root@test-huanqiu ~]# visudo
.....
# Allow members of group sudo to execute any command
# (Note that later entries override this, so you might need to move it further down)
%sudo ALL=(ALL) ALL
和授權給單個使用者類似,只不過將使用者名稱在這裡換成%組名,所有在該組中的使用者都按照此規則進行授權。對於該例,所有在 sudo 組內的使用者都有在任何終端(第一個ALL)、以任何使用者(第二個ALL)、執行任何命令(第三個ALL)的許可權,檢視 /etc/group 檔案可以知道哪些使用者屬於 sudo 組。

例項說明:
如果當前帳號在/etc/sudoers檔案中被授予sudo的許可權,那麼你就可以將任何root命令作為sudo 命令的引數,使用root許可權來執行該命令。

比如掛載一個檔案系統只能由root來執行,但是一個普通使用者也可以使用sudo來掛載:
[wangshibo@test-huanqiu ~]$ sudo mount /dev/sda7 /mnt
[sudo] password for wangshibo:
首次使用會要求你輸入當前使用者的密碼,系統確實輸入正確即以 root 許可權來執行 mount 命令,接下來一段時間(預設為5分鐘)再次使用 sudo 命令就不需要輸密碼了。

2.vim編輯後發現忘記使用sudo
有時經常會遇到這樣的一個囧境:
使用vim對某個檔案進行編輯,編輯完之後,按 ESC 之後回到普通模式,再按:wq準備儲存退出時,發現沒有許可權對該檔案進行修改,因為在使用vim 命令時忘記在前面加sudo了。出現這種問題,大多數人的做法是隻能不儲存強退,再加上 sudo 重新編輯。

其實大可不必這麼愚蠢的做法了,巧妙的做法是:
在vim的普通模式下,按 :w !sudo tee % ,這樣就可以 root 許可權來儲存檔案了,你也無需因為自己一時忘記加個 sudo 而沮喪懊惱了!

例項說明:
使用guohuihui使用者在/tmp目錄下建立了一個檔案,預設情況下,wangshibo使用者對這個檔案是沒有操作許可權的
[root@ops-server4 ~]# su - guohuihui
[guohuihui@ops-server4 ~]$ vim /tmp/guohuihui
[guohuihui@ops-server4 ~]$ cat /tmp/guohuihui
sdfasdfsd

現在給wangshibo使用者設定了sudo許可權,編輯上面檔案時,忘了在命令前面加sudo命令了
[wangshibo@ops-server4 ~]$ vim /tmp/guohuihui
編輯完,直接輸入w儲存時,會報錯說沒有許可權:
"/tmp/guohuihui"
"/tmp/guohuihui" E212: Can't open file for writing
Press ENTER or type command to continue

這個時候可以按:w !sudo tee %就可以正常儲存了。輕鬆搞定!!效果如下:
:w !sudo tee %                   //回車
sdfasdfsd
12345666

W12: Warning: File "/tmp/guohuihui" has changed and the buffer was changed in Vim as well
See ":help W12" for more info.
[O]K, (L)oad File:

這個時候回車,然後再輸入q退出,檢視發現剛才輸入的內容已經儲存下來了:
[wangshibo@ops-server4 ~]$ cat /tmp/guohuihui
sdfasdfsd
12345666

3.執行root 命令忘記加sudo
還會遇到這樣稍微好一點的情形:輸入一個長長的命令,按Enter之後出現無許可權操作,因為在命令前面忘記加sudo了。
大多人的做法是按 ↑ 回到上一條命令,在該命令之前加上sudo,再執行該命令。

其實,也大可不必這樣,巧妙的做法是:
只要輸入 sudo !! 即可,這裡的 !! 代表上一條命令。如:

例項說明:
[wangshibo@ops-server4 ~]$ cat /etc/sudoers|tail -3
cat: /etc/sudoers: Permission denied
[wangshibo@ops-server4 ~]$ sudo !!
sudo cat /etc/sudoers|tail -3

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

----------------------------------------------------------
在linux終端下:
輸入!! 表示上一個命令
輸入Esc+.(符號點) 表示上一個命令中的最後一部分
cd - 表示切換到上一個路徑下
cd和cd ~ 表示切換到當前使用者家目錄下
----------------------------------------------------------

4.shell內建命令使用sudo
shell是一個互動式的應用程式,在執行外部命令時通過fork來建立一個子程式,再通過exec來載入外部命令的程式來執行。
但是如果一個命令是shell內建命令,那麼只能直接由shell 來執行。
sudo 的意思是,以別的使用者(如root)的許可權來fork一個程式,載入程式並執行,因此sud 後面不能跟shell 的內建命令。

例項說明:
[wangshibo@ops-server4 ~]$ sudo cd cd /sys/kernel/debug/
sudo: cd: command not found
在這種情況,我們又沒有root賬戶的密碼,我們怎樣執行該命令呢?
有種辦法就是使用sudo獲得root shell 的許可權,然後在root shell中執行該命令。
進入root shell 很簡單,輸入sudo bash確認本使用者的密碼即可(如果/etc/sudoers裡配置了無密碼使用sudo,就不需要駛入密碼),此時你會發現命令提示符顯示當前 root。一旦獲得root shell,你就可以執行任何命令而不需要在每條命令前輸入sudo了。
[wangshibo@ops-server4 ~]$ sudo bash                   //或者sudo su - 或者 sudo -s,其實就使用sudo命令切換到root下
[root@ops-server4 wangshibo]# cd /sys/kernel/debug/
[root@ops-server4 debug]#

我們可以使用 type 命令來檢視命令的型別,如:
[wangshibo@ops-server4 ~]$ type cd
cd is a shell builtin
[wangshibo@ops-server4 ~]$ type umask
umask is a shell builtin

5.sudo 操作記錄日誌
作為一個Linux系統的管理員,不僅可以讓指定的使用者或使用者組作為root使用者或其它使用者來執行某些命令,還能將指定的使用者所輸入的命令和引數作詳細的記錄。
而sudo的日誌功能就可以使用者跟蹤使用者輸入的命令,這不僅能增進系統的安全性,還能用來進行故障檢修。
但是要記錄sudo的日誌還要一些簡單的配置:
1)建立sudo日誌檔案
我們將sudo日誌檔案放置在/var/log/sudo.log 檔案中:
[wangshibo@ops-server4 ~]$ sudo touch /var/log/sudo.log
2)修改/etc/rsyslog.conf配置檔案(有些版本系統的這個檔名為/etc/syslog.conf),在該檔案加入下面一行:
[wangshibo@ops-server4 ~]$ sudo vim /etc/rsyslog.conf
.........
local2.debug /var/log/sudo.log //空白不能用空格,必須用tab
3)修改/etc/sudoers 配置檔案
注意網上很多關於sudo日誌檔案配置都缺少這一步!在該檔案中加入下面一行:
[wangshibo@ops-server4 ~]$ sudo vim /etc/sudoers
........
Defaults logfile=/var/log/sudo.log
4)重啟 syslog 服務:
[wangshibo@ops-server4 ~]$ sudo service rsyslog restart

5)最後,就可以檢視sudo日誌記錄了:
經過上面的配置,sudo的所有成功和不成功的sudo命令都記錄到檔案/var/log/sudo.log 中。
例如我上面執行幾條sudo 命令之後,檢視該檔案的記錄如下:
[wangshibo@ops-server4 ~]$ cat /var/log/sudo.log
Dec 3 11:28:38 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ;
COMMAND=/sbin/service rsyslog restart
Dec 3 11:29:49 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ;
COMMAND=/bin/cat /etc/passwd
Dec 3 11:29:56 : wangshibo : TTY=pts/0 ; PWD=/home/wangshibo ; USER=root ;
COMMAND=/usr/bin/vim /root/a.sh
Dec 3 11:30:35 : guohuihui : user NOT in sudoers ; TTY=pts/0 ;
PWD=/home/guohuihui ; USER=root ; COMMAND=/usr/bin/vim /root/a.shsa
Dec 3 11:30:47 : guohuihui : user NOT in sudoers ; TTY=pts/0 ;
PWD=/home/guohuihui ; USER=root ; COMMAND=/usr/bin/vim /root/a.sh

linux下的其他許可權可以參考:linux系統下的許可權知識梳理

相關文章