文章目录
命令介绍原理相关文件通配符和命令 su 的比较常用选项几个重要选项的解读-k 选项-s 选项-i 选项su、sudo su、sudo -i 的区别查看日志文件参考示例以用户 mysql 的身份执行命令 pwd以用户 root 的身份执行命令 pwd以 root 的权限执行上一条命令以 root 的权限编辑指定的文件普通用户切换成 root 身份使用 root 的身份执行最近一条指令使用 sudo 切换 Shell 类型切换成指定的用户显示当前用户可以用 sudo 执行哪些命令通过加入群组的方式给普通用户授权命令介绍
substitute user identity to do
,替换身份去执行,缩写为sudo
。
sudo
命令用来以其他身份来执行命令,预设的身份为root
。在/etc/sudoers
中设置了可执行sudo
指令的用户。若其未经授权的用户企图使用sudo
,则会发出警告的邮件给管理员。用户使用sudo
时,必须先输入密码,之后有 5 分钟的有效期限,超过期限则必须重新输入密码。
简单的说,sudo
是一种权限管理机制,管理员可以授权一些普通用户去执行一些root
执行的操作,而不需要知道root
的密码。普通用户必须在文件/etc/sudoers
中进行有关授权,才能使用命令sudo
。
更加正确地说法是,sudo
允许一个已授权用户以超级用户或者其它用户的角色运行一个命令。当然,能做什么不能做什么都是通过安全策略来指定的。sudo
支持插件架构的安全策略,并能把输入输出写入日志。第三方可以开发并发布自己的安全策略和输入输出日志插件,并让它们无缝的和sudo
一起工作。默认的安全策略记录在/etc/sudoers
文件中。而安全策略可能需要用户通过密码来验证他们自己。也就是在用户执行sudo
命令时要求用户输入自己账号的密码。如果验证失败,sudo
命令将会退出。
原理
sudo
使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是 /etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上sudo
,此时sudo
将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在 /etc/sudoers 自定义),使用sudo
不需要再次输入密码。
sudo
命令的运行,需经历如下几步:
当用户运行 sudo 命令时,系统会先通过 /etc/sudoers 文件,验证该用户是否有运行 sudo 的权限;
确定用户具有使用 sudo 命令的权限后,还要让用户输入自己的密码进行确认。出于对系统安全性的考虑,如果用户在默认时间内(默认是 5 分钟)不使用 sudo 命令,此后使用时需要再次输入密码;
密码输入成功后,才会执行 sudo 命令后接的命令。
显然,能否使用 sudo 命令,取决于对 /etc/sudoers 文件的配置(默认情况下,此文件中只配置有 root 用户)。默认情况下 sudo 命令只有 root 身份可以使用。
相关文件
配置文件:
/etc/sudoers
/etc/sudoers.d/
时间戳文件:
/var/db/sudo
日志文件:
/var/log/secure
通配符
?:匹配任意一个字符*:匹配任意数量的任意字符[wxc]:匹配其中一个字符[!wxc]:除了这三个字符的其它字符\x:转义[[alpha]]:表示匹配任意一个英文字母。示例:/bin/ls [[alpha]]*
和命令 su 的比较
相对于使用 su 命令还需要新切换用户的密码,sudo 命令的运行只需要知道自己的密码即可,甚至于,我们可以通过手动修改 sudo 的配置文件,使其无需任何密码即可运行。
常用选项
几个重要选项的解读
-k 选项
考虑下这种情况:
输入密码后你刚刚运行了几个 sudo 驱动的命令,而 sudo 会话默认保持 5 分钟。假设在这会话期间,你需要让某些人访问你的终端,但你不想让他们可以使用 sudo,你将会怎么做?没错,-k
选项允许用户提前结束 sudo 会话的有效期。
以下是 sudo 帮助页面的解释:
-k, --reset-timestamp
不带任何命令使用时,撤销用户缓存的凭据。换句话讲,下一次使用sudo将会要求输入密码。使用这个参数不需要密码,也可以放到一个
./logout文件中来撤销 sudo 权限。
当与一个命令,或者一个可能需要密码的操作一起用时,这个参数将会导致sudo忽略用户缓存的凭据。结果是sudo要求输入密码(如果这是被安全策略所要求的),而且不会更新用户缓存的凭据。
-s 选项
有时你的工作要求你运行一堆需要 root 权限的命令,你不想每次都输入密码。你也不想通过改变/etc/sudoers文件调整sudo会话的过期时限。
这种情况下,你可以用 sudo 的 -s 选项。以下是 sudo 帮助页面的解释:
-s,–shell
如果设置了 SHELL 环境变量或者调用用户的密码数据库指定了 shell,就运行该 shell 。如果指定了命令,命令将会通过 shell
的 -c参数将命令传递给该 shell 执行。如果没有指定命令,会执行一个交互式 shell。
所以,基本上这命令参数做的是:
1.启动一个新的 shell,至于是哪一个 shell,参照 SHELL 环境变量赋值。如果$SHELL
是空的,将会用/etc/passwd
中定义的 shell。
2.如果你用-s
参数传递了一个命令名(例如,sudo -s whoami
),实际执行的是sudo /bin/bash -c whoami
。
3.如果你没有尝试执行其他命令(也就是说,你只是运行sudo -s
),你将会得到一个有 root 权限的交互式的 shell。
4.请记住,-s
命令行参数给你一个有 root 权限的 shell,但那不是 root 环境 —— 还是执行的你自己的.bashrc
。例如,在sudo -s
运行的新 shell 里,执行whoami
命令仍会返回你的用户名,而非 root 。
-i 选项
-i
选项和-s
选项相像。然而,还是有点区别。一个重要的区别是-i
给你的是 root 环境,意味着原用户的.bashrc
被忽略。这就像没有显式地用 root 登录也能成为 root 。此外,你也不用输入 root 用户密码。
su、sudo su、sudo -i 的区别
补充…
查看日志文件
在 ubuntu 中,sudo 的日志默认被记录在 /var/log/auth.log 文件中。当我们执行 sudo 命令时,相关日志都是会被记录下来的。比如下图中显示的就是一次执行 sudo 命令的日志:
在 CentOS 中查看日志/vat/log/secure
:
[root@localhost ~]# tail /var/log/secureApr 5 13:55:58 localhost su: pam_unix(su-l:session): session opened for user tom by root(uid=0)Apr 5 13:56:11 localhost su: pam_unix(su-l:session): session closed for user tomApr 5 13:56:17 localhost passwd: pam_unix(passwd:chauthtok): password changed for tomApr 5 13:56:17 localhost passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was enteredApr 5 13:56:23 localhost su: pam_unix(su-l:session): session opened for user tom by root(uid=0)Apr 5 13:56:43 localhost sudo:tom : TTY=pts/0 ; PWD=/home/tom ; USER=root ; COMMAND=list##tom以管理员身份执行了list命令Apr 5 14:00:50 localhost sudo:tom : TTY=pts/0 ; PWD=/home/tom ; USER=root ; COMMAND=/usr/sbin/useradd test1 ##tom以管理员身份执行了useradd命令,添加用户test1Apr 5 14:00:50 localhost useradd[2128]: new group: name=test1, GID=501Apr 5 14:00:50 localhost useradd[2128]: new user: name=test1, UID=501, GID=501, home=/home/test1, shell=/bin/bashApr 5 14:07:15 localhost su: pam_unix(su-l:session): session closed for user tom
以后可以查看日志文件分析主机是否遭到入侵攻击,或者查看某用户登录进来并使用特殊权限执行了哪些指令等。所以我们要实时监控此文件的动向。
参考示例
以用户 mysql 的身份执行命令 pwd
当前登录用户是 root,我要以 mysql 的身份执行命令 pwd,命令如下:
[root@htlwk0001host ~]# sudo -u mysql pwd/root
以用户 root 的身份执行命令 pwd
当前登录用户是 mysql,我要以 root 的身份执行命令 pwd,命令语句如下:
[mysql@htlwk0001host root]$ sudo pwd[sudo] mysql 的密码:mysql 不在 sudoers 文件中。此事将被报告。
注:
1.sudo 没有使用选项-u
来指定其它用户,默认是 root 用户
2.从上面输出结果可以知道,使用命令 sudo,需要输入当前登录用户自己的密码
3.当前登录用户没有在/etc/sudoers
文件中,所以不能使用命令 sudo
这个命令相当于使用 root 超级用户重新登录一次 shell,只不过密码是当前登录用户的密码。而且重要是,该命令会重新加载/etc/profile
文件以及/etc/bashrc
文件等系统配置文件,并且还会重新加载 root 用户的$SHELL
环境变量所对应的配置文件 ,比如:root 超级用户的$SHELL
是/bin/bash
,则会加载/root/.bashrc
等配置。如果是/bin/zsh
,则会加载/root/.zshrc
等配置,执行后是完全的 root 环境。
以 root 的权限执行上一条命令
如果由于你忘了使用 sudo 而导致命令行返回一个错误,只需输入sudo !!
就可以用sudo
来执行上一条指令:
[mysql@htlwk0001host ~]$ sudo !!
以 root 的权限编辑指定的文件
[root@htlwk0001host mysql]# sudo -e /root/student.txt
使用命令sudo
,如果没有使用选项-u
指定用户,默认是root
用户。这条命令等效下面这条指令:
[root@htlwk0001host mysql]# sudoedit /root/student.txt
普通用户切换成 root 身份
当前登录用户是mysql
,想切换成用户root
,可以执行下面的命令:
[mysql@htlwk0001host ~]$ sudo -i[sudo] mysql 的密码:
注:
1.这里是输入用户mysql
自己的登录密码。
2.必须在文件/etc/sudoers
中配置用户mysql
有关sudo
的权限(即授权),用户 mysql 才能使用命令 sudo。
3.选项-i
,表示以目标用户 root 登录 shell,这样切换成用户 root 后,相关的运行环境也改变成用户 root 的运行环境,感觉好像就是以用户 root 登录 shell 一样,其实还是有区别的,具体需要参阅手册。
也可以使用命令su
切换成root
用户:
[mysql@htlwk0001host ~]$ su root密码:
这里需要输入用户 root 的登录密码。
使用 root 的身份执行最近一条指令
如果由于你忘了使用 sudo 而导致命令行返回一个错误,只需输入sudo !!
就可以用sudo
来执行上一条指令。
使用 sudo 切换 Shell 类型
如果你需要执行很多条需要 root 权限的命令,你可以临时切换整个命令行 shell 来取得 root 级别的访问权限。方法就是先输入sudo -s
,回车后再键入你的密码。
感觉-s
选项有点类似-i
选项,都可以切换指定用户身份。
切换成指定的用户
[root@htlwk0001host ~]# sudo -u mysql -i[mysql@htlwk0001host ~]$
或者
[root@htlwk0001host ~]# sudo -u mysql -s[mysql@htlwk0001host root]$
感觉-s
选项有点类似-i
选项,都可以切换成指定的用户身份。但是两者肯定有区别,我没有研究出本质的区别,目前可以知道的就是使用选项-i
切换后当前工作目录会改成目标用户的家目录,而选项-s
则没有改变,但是这点并不是很重要,我查看了两种选项切换后的环境变量,也都改成了目标用户的环境变量。
重要:请注意 su 命令也能让你切换用户(默认切换到 root )。这个命令需要你输入 root 密码。为了避免这一点,你可以使用 sudo 执行它
[mysql@htlwk0001host root]$ sudo su[sudo] mysql 的密码: [root@htlwk0001host ~]#
这样你只需要输入你的登录密码。
显示当前用户可以用 sudo 执行哪些命令
[lamp@localhost ~]$ sudo -l[sudo] password for lamp: # 需要输入lamp用户的密码User lamp may run the following commands on this host:(root) /sbin/shutdown -r now
可以看到,lamp 用户拥有了shutdown -r now
的权限。这时,lamp 用户就可以使用sudo
执行如下命令重启服务器:
[lamp@localhost ~]$ sudo /sbin/shutdown -r now
通过加入群组的方式给普通用户授权
ubuntu 系统默认创建了一个名为 sudo 的组。只要把用户加入这个组,用户就具有了 sudo 的权限。
至于如何把用户加入 sudo 组,您可以直接编辑 /etc/group 文件,当然您得使用一个有 sudo 权限的用户来干这件事:
$ sudo vim /etc/group
在 sudo 组中加入新的用户,要使用逗号分隔多个用户:
sudo:x:27:nick,jack
或者您可以使用 usermod 命令把用户 jack 添加到一个 sudo 用户组中:
$ sudo usermod -a -G sudo jack
上面的设置中我们把用户 jack 添加到了 sudo 组中,所以当用户 jack 登录后就可以通过 sudo 命令以 root 权限执行命令了!