更改身份
- su 切换身份:su –l username –c ‘command’
- sudo
来自sudo包,man 5 sudoers
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
sudo可以提供日志,记录每个用户使用sudo操作
sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机
sudo使用时间戳文件来完成类似“检票”的系统,默认存活期为5分钟的“入场券”
通过visudo命令编辑配置文件,具有语法检查功能
visudo –c 检查语法
visudo -f /etc/sudoers.d/test
sudo
- 配置文件:/etc/sudoers, /etc/sudoers.d/
- 时间戳文件:/var/db/sudo
- 日志文件:/var/log/secure
- 配置文件支持使用通配符glob:
?:任意单一字符
* :匹配任意长度字符
[wxc]:匹配其中一个字符
[!wxc]:除了这三个字符的其它字符
\x : 转义
[[alpha]] :字母 示例: /bin/ls [[alpha]]* - 配置文件规则有两类;
1、别名定义:不是必须的
2、授权规则:必须的
sudoers
- 授权规则格式:
用户 登入主机=(代表用户) 命令 - 示例:
root ALL=(ALL) ALL - 格式说明:
user: 运行命令者的身份
host: 通过哪些主机
(runas):以哪个用户的身份
command: 运行哪些命令
示例:
写在子配置文件/etc/sudoers.d目录下,把授权命令写入该目录下自定义的文件中
cat /etc/sudoers.d/f1
wang ALL=(root) /bin/mount /dev/sr0 /mnt
注意“=”号后的(root)可以省略不写,默认代表root
示例:
cat /etc/sudoers/wang
wang 192.168.32.128= /bin/cat /etc/shadow
cat /etc/sudoers/mage
mage 192.156.32.128=(wang) ALL
在mage用户界面
sudo -u wang sudo /bin/cat /etc/shadow
别名
- Users和runas:
username
#uid
%group_name
%#gid
user_alias|runas_alias - host:
ip或hostname
network(/netmask)
host_alias - command:
command name
directory
sudoedit
Cmnd_Alias
sudo别名和示例
- 别名有四种类型:User_Alias, Runas_Alias, Host_Alias ,Cmnd_Alias
- 别名格式:[A-Z]([A-Z][0-9])*
大写字母开头,除了开头,后续的也必须是大写字母、数字或下划线 - 别名定义:
Alias_Type NAME1 = item1, item2, item3 : NAME2 = item4, item5
示例:
示例1:
Student ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
示例2:
student ALL=(root) /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL) NOPASSWD: ALL
示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=(root) NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD
示例4
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd,/usr/sbin/usermod, /usr/bin/passwd [a-zA-Z]\*, !/usr/bin/passwd root
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD,PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
示例6
wang 192.168.1.6,192.168.1.8=(root) /usr/sbin/,!/usr/sbin/useradd
示例7
wang ALL=(ALL) /bin/cat /var/log/messages*
这个写法存在漏洞,可以在/var/log/messages文件后跟其他文件
如:sudo cat /var/log/messages /etc/shadow
解决方法:wang ALL=(ALL) /bin/cat /var/log/messages*,!/bin/cat /var/log/messages* *
sudo命令
- ls -l /usr/bin/sudo
- sudo –i –u wang 切换身份
- sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u user 默认为root
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳(1970-01-01),下次需要重新输密码
-K 与-k类似,还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
示例:-p "password on %h for user %p:"
文章评论