詳解管理root使用者許可權的sudo服務程式
在你想要使用超級許可權臨時執行一條命令時,sudo 命令非常方便,但是當它不能如你期望的工作時,你也會遇到一些麻煩。比如說你想在某些日誌檔案結尾新增一些重要的資訊,你可能會嘗試這樣做:
$ echo "Important note" >> /var/log/somelog -bash: /var/log/somelog: Permission denied
好吧,看起來你似乎需要一些額外的特權。一般來說,你不能使用你的使用者賬號向系統日誌中寫入東西。我們使用 sudo 再嘗試一次吧。
$ sudo !! sudo echo "Important note" >> /var/log/somelog -bash: /var/log/somelog: Permission denied
嗯,它還是沒有啥反應。我們來試點不同的吧。
$ sudo 'echo "Important note" >> /var/log/somelog' sudo: echo "Important note" >> /var/log/somelog: command not found
接下來該幹什麼?
上面在執行完第一條命令後的回應顯示,我們缺少向日志檔案寫入時必須的特權。第二次,我們使用 root 許可權執行了第一次的命令,但是返回了一個“沒有許可權”的錯誤。第三次,我們把整個命令放在一個引號裡面再執行了一遍,返回了一個“沒有發現命令”的錯誤。所以,到底錯在哪裡了呢?
-
第一條命令:沒有 root 特權,你無法向這個日誌中寫入東西。
-
第二條命令:你的超級許可權沒有延伸到重定向。
-
第三條命令:sudo 不理解你用引號括起來的整個 “命令”。
而且如果你的使用者還未新增到 sudo 使用者組的時候,如果嘗試使用 sudo,你可能已經看到過像下面的這麼一條錯誤了:
nemo is not in the sudoers file. This incident will be reported.
你可以做什麼?
一個相當簡單的選擇就是使用 sudo 命令暫時成為 root。鑑於你已經有了 sudo 特權,你可以使用下面的命令執行此操作:
$ sudo su [sudo] password for nemo: #
注意這個改變的提示符表明了你的新身份。然後你就可以以 root 執行之前的命令了:
# echo "Important note" >> /var/log/somelog
接著你可以輸入 ^d 返回你之前的身份。當然了,一些 sudo 的配置可能會阻止你使用 sudo 命令成為 root。
另一個切換使用者為 root 的方法是僅用 su 命令,但是這需要你知道 root 密碼。許多人被賦予了訪問 sudo 的許可權,而並不知道 root 密碼,所以這並不是總是可行。
(採用 su 直接)切換到 root 之後,你就可以以 root 的身份執行任何你想執行的命令了。這種方式的問題是:1) 每個想要使用 root 特權的人都需要事先知道 root 的密碼(這樣不很安全);2) 如果在執行需要 root 許可權的特定命令後未能退出特權狀態,你的系統可能會受到一些重大錯誤的波及。sudo 命令旨在允許您僅在真正需要時使用 root 許可權,並控制每個 sudo 使用者應具有的 root 許可權。它也可以使你在使用完 root 特權之後輕鬆地回到普通使用者的狀態。
另外請注意,整個討論的前提是你可以正常地訪問 sudo,並且你的訪問許可權沒有受限。詳細的內容後面會介紹到。
還有一個選擇就是使用一個不同的命令。如果透過編輯檔案從而在其後新增內容是一種選擇的話,你也許可以使用 sudo vi /var/log/somelog,雖然編輯一個活躍的日誌檔案通常不是一個好主意,因為系統可能會頻繁的向這個檔案中進行寫入操作。
最後一個但是有點複雜的選擇是,使用下列命令之一可以解決我們之前看到的問題,但是它們涉及到了很多複雜的語法。第一個命令允許你在得到 “沒有許可權” 的拒絕之後可以使用 !! 重複你的命令:
$ sudo echo "Important note" >> /var/log/somelog -bash: /var/log/somelog: Permission denied $ !!:gs/>/|sudo tee -a / <===== $ tail -1 /var/log/somelog Important note
第二種是透過 sudo 命令,把你想要新增的資訊傳遞給 tee。注意,-a 指定了你要附加文字到目標檔案:
$ echo "Important note" | sudo tee -a /var/log/somelog $ tail -1 /var/log/somelog Important note
sudo 有多可控??
回答這個問題最快速的回答就是,它取決於管理它的人。大多數 的預設設定都非常簡單。如果一個使用者被安排到了一個特別的組中,例如 wheel 或者 admin組,那這個使用者無需知道 root 的密碼就可以擁有執行任何命令的能力。這就是大多數 Linux 系統中的預設設定。一旦在 /etc/group 中新增了一個使用者到了特權組中,這個使用者就可以以 root 的權力執行任何命令。另一方面,可以配置 sudo,以便一些使用者只能夠以 root 身份執行單一指令或者一組命令中的任何一個。
如果把像下面展示的這些行新增到了 /etc/sudoers 檔案中,例如 “nemo” 這個使用者可以以 root 身份執行 whoami 命令。在現實中,這可能不會造成任何影響,它非常適合作為一個例子。
# User alias specification nemo ALL=(root) NOPASSWD: WHOAMI # Cmnd alias specification Cmnd_Alias WHOAMI = /usr/bin/whoami
注意,我們新增了一個命令別名(Cmnd_Alias),它指定了一個可以執行的命令的全路徑,以及一個使用者別名,允許這個使用者無需密碼就可以使用 sudo 執行的單個命令。
當 nemo 執行 sudo whoami 命令的時候,他將會看到這個:
$ sudo whoami root
注意這個,因為 nemo 使用 sudo 執行了這條命令,whoami 會顯示該命令執行時的使用者是 root。
至於其他的命令,nemo 將會看到像這樣的一些內容:
$ sudo date [sudo] password for nemo: Sorry, user nemo is not allowed to execute '/bin/date' as root on butterfly.
sudo 的預設設定
在預設路徑中,我們會利用像下面展示的 /etc/sudoers 檔案中的幾行:
$ sudo egrep "admin|sudo" /etc/sudoers # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL <===== # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL <=====
在這幾行中,%admin 和 %sudo 都說明了任何新增到這些組中的人都可以使用 sudo 命令以 root 的身份執行任何命令。
下面列出的是 /etc/group 中的一行,它意味著每一個在該組中列出的成員,都擁有了 sudo 特權,而無需在 /etc/sudoers 中進行任何修改。
sudo:x:27:shs,nemo
總結
sudo 命令意味著你可以根據需要輕鬆地部署超級使用者的訪問許可權,而且只有在需要的時候才能賦予使用者非常有限的特權訪問許可權。你可能會遇到一些與簡單的 sudo command 不同的問題,不過在 sudo 的回應中應該會顯示你遇到了什麼問題。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31524109/viewspace-2285357/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 取消 root 級管理員的 root 許可權
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- 無 sudo 許可權使用者的生存指南
- linux sudo許可權配置Linux
- 讓root使用者有super許可權
- 『學了就忘』Linux許可權管理 — 54、sudo授權Linux
- Centos sudo 許可權問題CentOS
- CentOS 新建使用者並授予root許可權CentOS
- 服務端指南 | 檔案許可權管理剖析服務端
- MySQL 許可權詳解MySql
- Ubuntu-給新增使用者新增root許可權Ubuntu
- 給非 root 使用者新增 docker 使用許可權Docker
- mysql使用者許可權管理MySql
- 如何讓普通使用者獲取root使用者的許可權
- 許可權系統:許可權應用服務設計
- ubuntu 開放root使用者的SSH訪問許可權Ubuntu訪問許可權
- artisan日誌 root 許可權解決辦法
- Linux 筆記分享十:sudo 許可權Linux筆記
- Linux 筆記分享十一:sudo 許可權Linux筆記
- 許可權系統:許可權應用服務設計Tu
- 授權許可權服務設計解析
- MongoDB 使用者與許可權管理MongoDB
- MySQL 使用者及許可權管理?MySql
- Linux使用者、組、許可權管理Linux
- MySQL使用者及許可權管理MySql
- Oracle使用者角色許可權管理Oracle
- 如何在 Ubuntu 上為使用者授予和移除 sudo 許可權Ubuntu
- 【詳解】GrantedAuthority(已授予的許可權)
- 在Linux中,如何新增和管理使用者賬戶以及如何設定sudo許可權?Linux
- 基於golang的rbac許可權api管理服務(含自動生成CURD程式碼)GolangAPI
- 許可權框架之Shiro詳解框架
- 使用者許可權管理之使用者與組管理
- OpenShift 使用者許可權管理例項
- 使用者角色許可權管理架構架構
- 【Git】程式碼許可權&分支管理Git
- 解決root使用者對HDFS檔案系統沒有許可權的問題
- MySQL-03.使用者管理和許可權管理MySql
- Android手機獲取Root許可權Android