授权身份-sudo

网络安全

更改身份sudo

su切换身份:su –l username –c "command"
sudo
- 来自sudo包
- man 5 sudoers
- sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用sudo，会提示联系管理员
- sudo可以提供日志，记录每个用户使用sudo操作
- sudo为系统管理员提供配置文件，允许系统管理员集中地管理用户的使用权限和使用的主机
- sudo使用时间戳文件来完成类似“检票”的系统，默认存活期为5分钟的“入场券”
- 通过visudo命令编辑配置文件，具有语法检查功能
- visudo –c 检查语法
- 配置文件：/etc/sudoers, /etc/sudoers.d/
- 时间戳文件：/var/db/sudo 一定时间不会再填写密码
- 日志文件：/var/log/secure 能看到被授权人执行什么操作
- 配置文件支持使用通配符glob：

？:任意单一字符
* ：匹配任意长度字符
[wxc]:匹配其中一个字符
[!wxc]:除了这三个字符的其它字符
\x : 转义
[[alpha]] :字母示例：/bin/ls [[alpha]]*

配置文件规则有两类:

别名定义:不是必须的

授权规则:必须的

sudo命令:
ls -l /usr/bin/sudo
sudo –i –u wang切换身份
sudo[-u user] COMMAND 
-V 显示版本信息等配置信息
-u user  默认为root-l,ll列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳（1970-01-01），下次需要重新输密码
-K 与-k类似，还要删除时间戳文件
-b在后台执行指令
-p 改变询问密码的提示符号示例：-p”password on %h for user %p:" 

实例：

配置文件：/etc/sudoers（只读文件）, /etc/sudoers.d/（建议修改这个文件）
visudo==打开/etc/sudoers  //用visudo打开文件有语法检查功能缺点没颜色配置环境变量
[root@centos7 ~]#vim /etc/profile.d/env.sh
export EEDITOR=vim  //添加这个 
[root@centos7 ~]#vipw //有颜色的
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
重要 部分 让wang用户只能挂载到/mnt/cdrom目录下
[root@centos6 ~]#visudo
## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL
wang    ALL=（root）    /usr/bin/mount /dev/sr0 /mnt/cdrom
注意这里写什么用户就能执行什么一点不能差
这时wang用户执行命令前必须加sudo
[wang@centos6 ~]#sudo mount /dev/sr0 /mnt/cdrom
但是一般不建议在这个文件添加；（建议在/etc/sudoers.d/下）
[root@centos6 ~]#vim wang
wang    ALL=（root）    /usr/bin/mount /dev/sr0 /mnt/cdrom
一个用户一个文件不会乱套
visudo –c 检查语法
visudo -f /etc/sudoers.d/wang  //打开weng用户
[root@centos6 ~]#visudo -f /etc/sudoers.d/wang
wang    ALL=(zhang)    ALL
zhang   ALL=(root)  /bin/cat /etc/shadow
[wang@centos6 ~]#sudo -u zhang sudo cat /etc/shadow //wang用户代替zhang用户执行权限 这样写有点绕
%wheel        ALL=(ALL)       NOPASSWD: ALL //这个是组，如果这个没改放开的的话 只要是这个组成员就什么都能执行相当与root

sudoers

授权规则格式：用户登入主机=(代表用户) 命令
示例：root ALL=(ALL) ALL

格式说明：

user: 运行命令者的身份

host: 通过哪些主机

(runas)：以哪个用户的身

command: 运行哪些命令

别名

Users和runas: 
    username
    #uid
    %group_name
    %#gid
    user_alias|runas_alias
host:
    ip或hostname
    network(/netmask)
    host_alias
command:
    command name
    directory
    sudoedit（特殊权限如果用户有sudoedit权限 那他就可以编写所有用户sudo权限）
    Cmnd_Alias

sudo别名和示例

别名有四种类型：User_Alias, Runas_Alias, Host_Alias ，Cmnd_Alias
别名格式：[A-Z]([A-Z][0-9]_)*
别名定义：Alias_TypeNAME1 = item1, item2, item3 : NAME2 = item4, item5

示例1：
Student  ALL=(ALL)  ALL
%wheel ALL=(ALL) ALL
示例2：
student ALL=(root)  /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL)  NOPASSWD: ALL
示例3
User_Alias  NETADMIN= netuser1,netuser2
Cmnd_Alias  NETCMD=/usr/sbin/ip
NETADMIN ALL=（root）NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root 
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS=   SYDCMD,DSKCMD 
DISKADER ALL=(OP) DSKCMD 
示例5
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd, /usr/sbin/usermod, /usr/bin/passwd[a-zA-Z]*, !/usr/bin/passwdroot
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD，PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
示例6 授权以下主机登陆
wang 192.168.175.136,192.168.175.138=(root) /usr/sbin/,!/usr/sbin/useradd
示例7 如果这样写的话也可以查看/etc/password文件 man sudoers帮助有
wang ALL=(ALL)  /bin/cat /var/log/messages*

示例7 问题解决

示例7 如果这样写的话也可以查看/etc/password文件 man sudoers帮助有
wang ALL=(ALL) /bin/cat /var/log/messages*, /bin/cat /var/log/messages*