sudo 提权

一.sudo：

某个用户能够以另外一个用户的身份通过某主机执行某命令

useradd admin

sudo 的配置文件 /etc/sudoers

visudo

每一行就定义了一个sudo的条目：

who which——hosts=（runas) TAG: command

基本配置格式

=

user list 用户/组，或者已经设置的用户的别名列表, 用户名直接 username，用户组加上%，比如%admin,

host list 主机名或别名列表

operator list runas用户，即可以以哪个用户、组的权限来执行

command list 可以执行的命令或列表

tag list 这个经常用到的是 NOPASSWD: ，添加这个参数之后可以不用输入密码

别名机制：类似定义了一个组

4类：

用户别名： User_Alias

主机别名： Hosts_Alias

参照用户： Runas_Alias

命令别名： Cmnd_Alias

别名的名字只能使用大写的英文字母组合

别名：可使用！取反

User_Alias USERADMIN = 系统用户名 或 %组名 或用户别名

Hosts_Alias 主机名 IP 网络地址 其它主机名 可以嵌套

Runas_Alias 用户名 #UID 别名

Cmnd_Alias 命令绝对路径 目录（下面所有命令） 其它定义的命令别名

例子：定义hadoop用户可以以root用户的身份执行useradd 命令

/usr/sbin/useradd hadoop

sudo /usr/sbin/useradd hadoop

visudo hadoop ALL=(root) /usr/sbin/useradd ,/usr/sbin/usermod

在第一次输入后，密码会被记录，5分钟内是有效的

sudo -k 取消密码记忆，必须再重新进行验证

sudo -l 列出当前用户所有可以使用的sudo类的命令

例子：

hadoop ALL=(root) NOPASSWD: /usr/sbin/useradd

， PASSWD: /usr/sbin/usermod

例子：

User_Alias USERADMIN = hadoop , %hadoop

Cdm_Alias USERADMINCMD = /usr/sbin/useradd,

/user/sbin/usermod,/usr/sbin/userdel,

/usr/bin/passwd [A-Za-z]*,！/usr/bin/passwd root

记录sudo日志到指定的文件：

编辑/etc/sudoers文件，添加如下行：

Defaults logfile=/var/log/sudo.log

Defaults !syslog

visudo -c 可以检查配置文件语法