一，命令sudo

1. 命令語法
   sudo(選項)(引數)

2. 命令描述
   sudo命令用來以其他身份來執行命令，預設的身份為root。
   使用者使用sudo時，必須先輸入密碼，之後有5分鐘的有效期限，超過期限則必須重新輸入密碼。

3. 命令選項
   -b：在後臺執行指令；
   -H：將HOME環境變數設為新身份的HOME環境變數；
   -k：結束密碼的有效期限，也就是下次再執行sudo時便需要輸入密碼；
   -l：列出目前使用者可執行與無法執行的指令；
   -p：改變詢問密碼的提示符號；
   -s：執行指定的shell；
   -u<使用者>：以指定的使用者作為新的身份。若不加上此引數，則預設以root作為新的身份；
   -v：延長密碼有效期限5分鐘；

4. 命令示例

配置sudo必須通過編輯/etc/sudoers檔案，而且只有超級使用者才可以修改它，還必須使用visudo編輯。之所以使用visudo有兩個原因，一是它能夠防止兩個使用者同時修改它；二是它也能進行有限的語法檢查。所以，即使只有你一個超級使用者，你也最好用visudo來檢查一下語法。

設定sudo方法

1. 在命令列輸入 #visudo //visudo預設的是在vi裡開啟sudo配置檔案。
2. 進入配置檔案大概在90列左右可以看到下面的命令(小技巧:在vi編輯器裡使用 set nu //檢視行數)

90 ## Allow root to run any commands anywhere   // 翻譯: 允許root使用者在任何地方執行所有的命令    
91
 
 root    ALL=(ALL)       ALL     
92 user1   ALL=(ALL)       /usr/bin/ls, /usr/bin/mv, /usr/bin/cat   //自己編寫的    

命令說明:

1. 92列自己編寫的，這條命令的作用是:讓user使用者擁有sudo特權。

2. 命令從左到右，第一段user1為一個使用者，指定讓哪個使用者有sudo特權；

3. 第二段ALL=(ALL)比較難理解，左邊的ALL指的是所有的主機，右邊的ALL指的是獲取哪個使用者的身份，

4. 第二段幾乎都不用配置；

5. 第三段設定可以使用sudo的命令有哪些，這裡我選擇的是ls，mv,cat命令，注意這裡編輯的時候要寫絕對路徑。也可以寫ALL表示可以使用全部命令。也可以在第三段的最前面加上 #NOPASSWD: ，這樣在使用sudo的時候就不用輸入密碼了。

6. 編輯完成之後，#wq儲存退出。

7. 當你在visudo中編輯錯誤的時候wq後會提醒你例如:

visudo: >>>/etc/sudoers: syntax error 在行 92 附近 <<

此時我們有三種選擇：鍵入“e”是重新編輯，鍵入“x”是不儲存退出，鍵入“Q”是退出並儲存。如果真選擇Q，那麼sudo將不會再執行，直到錯誤被糾正。

上面步驟正常的情況下，切換到user1的使用者下，使用sudo命令# sudo /usr/bin/ls /root
此條命令的意思是 在user1的使用者下用sudo許可權ls檢視/root目錄，當然可以使用cat，mv命令。

二，限制root遠端登入

注： 該方法只適用於通過ssh遠端登入Linux的時候。

限制root遠端登入的方法

/etc/ssh/sshd_config為sshd服務的配置檔案，預設允許root賬戶通過ssh遠端登入Linux。要想不允許root使用者遠端登入到Linux，具體方法為: 修改配置檔案vi /etc/ssh/sshd_config,在檔案中查詢#PermitRootLogin yes並修改為PermitRootLogin no,即不允許root遠端登入。儲存配置檔案後，需要重啟sshd服務。

#systemctl restart sshd.service  //重啟sshd服務。

實戰

禁止root使用者遠端登入，只允許普通使用者登入。普通使用者如果想要得到root使用者的許可權，如下詳解

• 思路: 在普通使用者下，想要得到root使用者的許可權，使用su命令時，沒有root的密碼是切換不到root使用者下的。這時候可以把su放到sudo命令列表裡，之後在普通使用者下使用命令 #sudo su -root 就能得到root使用者的許可權了。

實現步驟:

• 在root使用者下 ，編輯visudo為使用者新增Alias

     16 ## User Aliases     
     17 ## These aren't often necessary, as you can use regular groups    
     18 ## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname    
     19 ## rather than USERALIAS    
     20 # User_Alias ADMINS = jsmith, mikem    
     21 User_Alias AMINGS=user1  //手動新增的。為使用者新增Alias    

• 設定規則

     90 ## Allow root to run any commands anywhere  
     91 root    ALL=(ALL)       ALL    
     92 user1   ALL=(ALL)       /usr/bin/ls, /usr/bin/mv, /usr/bin/cat          
     93 AMINGS  ALL=(ALL)       NOPASSWD: /usr/bin/su  //NOPASSWD代表執行/usr/bin/su的時候不需要輸入密碼。 

• 儲存退出

• 切換到user1使用者下，用sudo登入到root使用者下

[root@localhost ~]# su - user1   
上一次登入：三 11月  1 17:03:48 CST 2017pts/0 上    
[user1@localhost ~]$ sudo su - root   
上一次登入：三 11月  1 18:26:00 CST 2017pts/0 上   
[root@localhost ~]# whoami   //檢視當前使用者
root