sudo配置檔案詳解及實戰
阿新 • • 發佈:2018-12-02
安裝NGINX之後每次都需要切換ROOT使用者做配置檔案修改和啟動,為了加強安全,ROOT使用者一般是不允許直接提供給應用開發人員或者運維人員的,所以需要提供一種方法可以一般使用者執行ROOT使用者下的程式,並且該可執行程式依賴的其他ROOT使用者資源也是可以訪問的。使用chmod命令只能解決指定檔案的非ROOT使用者訪問問題,程式執行時依賴的檔案還是會提示許可權不足。因此需要將普通使用者加入sudo列表。
在扒了一篇帖子,轉載過來
一、sudo執行命令的流程
將當前使用者切換到超級使用者下,或切換到指定的使用者下,
然後以超級使用者或其指定切換到的使用者身份執行命令,執行完成後,直接退回到當前使用者。
具體工作過程如下:
當用戶執行sudo時,系統會主動尋找/etc/sudoers檔案,判斷該使用者是否有執行sudo的許可權
–>確認使用者具有可執行sudo的許可權後,讓使用者輸入使用者自己的密碼確認
–>若密碼輸入成功,則開始執行sudo後續的命令
二、不需要輸入密碼的情況
1.root執行sudo時不需要輸入密碼(eudoers檔案中有配置root ALL=(ALL) ALL這樣一條規則)
2.欲切換的身份與執行者的身份相同,不需要輸入密碼
3./etc/sudoers檔案設定為允許使用者在不輸入該使用者的密碼的情況下使用所有命令
如設定允許wheel使用者組中的使用者在不輸入該使用者的密碼的情況下使用所有命令
( %wheel ALL=(ALL) NOPASSWD: ALL)
三、/etc/sudoers檔案解釋
[root@test ~]# cat /etc/sudoers ## Sudoers allows particular users to run various commands as ## the root user, without needing the root password. ##該檔案允許特定使用者像root使用者一樣使用各種各樣的命令,而不需要root使用者的密碼 ## ## Examples are provided at the bottom of the file for collections ## of related commands, which can then be delegated out to particular ## users or groups. ## 在檔案的底部提供了很多相關命令的示例以供選擇,這些示例都可以被特定使用者或 ## ## 使用者組所使用 ## This file must be edited with the 'visudo' command. ## 該檔案必須使用"visudo"命令編輯 ## Host Aliases #主機別名 ## Groups of machines. You may prefer to use hostnames (perhap using ## wildcards for entire domains) or IP addresses instead. ## 對於一組伺服器,你可能會更喜歡使用主機名(可能是全域名的萬用字元) ## 或IP地址代替,這時可以配置主機別名 # Host_Alias FILESERVERS = fs1, fs2 # Host_Alias MAILSERVERS = smtp, smtp2 ## User Aliases #使用者別名 ## These aren't often necessary, as you can use regular groups ## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname ## rather than USERALIAS ## 這並不很常用,因為你可以通過使用組來代替一組使用者的別名 # User_Alias ADMINS = jsmith, mikem ## Command Aliases ## These are groups of related commands... ## 指定一系列相互關聯的命令(當然可以是一個)的別名,通過賦予該別名sudo許可權, ## 可以通過sudo呼叫所有別名包含的命令,下面是一些示例 ## Networking #網路操作相關命令別名 Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool ## Installation and management of software #軟體安裝管理相關命令別名 Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum ## Services #服務相關命令別名 Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig ## Updating the locate database #本地資料庫升級命令別名 Cmnd_Alias LOCATE = /usr/sbin/updatedb ## Storage #磁碟操作相關命令別名 Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount ## Delegating permissions #代理許可權相關命令別名 Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp ## Processes #程序相關命令別名 Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall ## Drivers #驅動命令別名 Cmnd_Alias DRIVERS = /sbin/modprobe #環境變數的相關配置 # Defaults specification # # Disable "ssh hostname sudo <cmd>", because it will show the password in clear. # You have to run "ssh -t hostname sudo <cmd>". # Defaults requiretty Defaults env_reset Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \ LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \ LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \ LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \ LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \ _XKB_CHARSET XAUTHORITY" ## Next comes the main part: which users can run what software on ## which machines (the sudoers file can be shared between multiple ## systems). ## 下面是規則配置:什麼使用者在哪臺伺服器上可以執行哪些命令(sudoers檔案可以在多個系統上共享) ## Syntax: ##語法 ## user MACHINE=COMMANDS ## 使用者 登入的主機=(可以變換的身份) 可以執行的命令 ## ## The COMMANDS section may have other options added to it. ## 命令部分可以附帶一些其它的選項 ## ## Allow root to run any commands anywhere ## 允許root使用者執行任意路徑下的任意命令 root ALL=(ALL) ALL ## Allows members of the 'sys' group to run networking, software, ## service management apps and more. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS ## 允許sys中戶組中的使用者使用NETWORKING等所有別名中配置的命令 ## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL ## 允許wheel使用者組中的使用者執行所有命令 ## Same thing without a password ## 允許wheel使用者組中的使用者在不輸入該使用者的密碼的情況下使用所有命令 # %wheel ALL=(ALL) NOPASSWD: ALL ## Allows members of the users group to mount and unmount the ## cdrom as root ## 允許users使用者組中的使用者像root使用者一樣使用mount、unmount、chrom命令 # %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom ## Allows members of the users group to shutdown this system # %users localhost=/sbin/shutdown -h now ## 允許users使用者組中的使用者像root使用者一樣使用shutdown命令
四、實際案例演示
例項1:讓普通使用者fieldyang具有/etc/init.d/nagios指令碼重啟的許可權,可以在/etc/sudoers新增如下設定:
[root@test ~]# visudo
fieldyang ALL=NOPASSWD:/etc/init.d/nagios restart例項2:讓普通使用者fieldyang具有所有超級使用者的許可權而又不用輸入密碼
[root@test ~]# visudo fieldyang ALL=(ALL)NOPASSWD:ALL [fieldyang@test ~]#sudo su - [fieldyang@test ~]#pwd /root
例項3:針對MySQL資料庫的設定,讓test組中的test使用者具備/etc/init.d/mysqld的許可權
################## mysql ################
1.
[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test2.
[root@test ~]# visudo
# test ALL=(ALL) NOPASSWD: /etc/init.d/mysqld
test ALL=(ALL) /etc/init.d/mysqld3. start/stop mysql
3.1) start mysql
login test
[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld start 3.2) stop mysql
login test
[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld stop例項4:針對tomcat的設定,讓test組中的test使用者具備tomcat操作的許可權
################## tomcat ################
1.
[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test2.
[root@test ~]# visudo
# test ALL=(ALL) /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
test ALL=(ALL) NOPASSWD: /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh3.
[root@test ~]# vim /usr/local/tomcat/bin/catalina.sh
### JDK
export JAVA_HOME=/usr/local/jdk
export JRE_HOME=$JAVA_HOME/jre4. start/stop tomcat
4.1) start tomcat
login test
[root@test ~]# su test
[test@test ~]$ sudo /usr/local/tomcat/bin/startup.sh
[test@test ~]$ ss -ntlup | grep Java
[test@test ~]$ curl -I http://localhost:8080- 1
- 2
- 3
- 4
4.2) stop tomcat
login test
[root@test ~]# su test
[test@test ~]$ sudo /usr/local/tomcat/bin/shutdown.sh