0
点赞
收藏
分享

微信扫一扫

权限管理(4)

sudo 提权

某个用户能够以另外一个用户的身份通过某主机执行某命令,而不用输入对方账户密码

  • sudo的配置文件 /etc/sudoers
  • 每一行定义一个sudo的条目:who whcih ——hosts=(runas)TAG:command
  • 基本配置格式: <user list><host list>=<operator list><tag list><command list>
  • user list 用户/组,或者已经设置的用户的别名列表,用户名直接username,用户组加上%。
  • host list:主机名或别名列表
  • operator list runas用户,既可以以哪个用户、组的权限来执行
  • command list 可以执行的命令或列表
  • tag list经常用到的是NOPASSWD,添加这个参数之后可以不用输入密码
  • 别名机制:类似定义了一个组
  • 4类别名(名字只能使用大写的英文字母组合)
  • User_Alias:用户别名
  • Hosts_Alias:主机别名
  • Runas_Alias:参照用户
  • Cmnd_Alias:命令别名
  • 别名:可使用!取反
  • User_ Alias USERADMIN =系统用户名 或 %组名 或用户别名
  • Hosts_ Alias 主机名 IP 网络地址 其它主机名 可以嵌套
  • Runas_ Alias 用户名 #UID 别名
  • Cmnd_ Alias 命令绝对路径 目录(下面所有命令) 其它定义的命令别名
  • visudo -c 可以检查配置文件语法
  • 在第一次输入后,密码会被记录,5分钟内是有效的
  • sudo -k 取消密码记忆,必须再重新进行验证
  • sudo -l 列出当前用户所有可以使用的sudo类的命令
  • 观察sudoers文件的最后一行,内容如下:
    \#includedir /etc/sudoers.d
    含义:包含该文件夹
    用途:不提倡将修改直接写入主配置文件,可以写入上面目录下的某个文件中

记录sudo日志到指定的文件

  • 编辑/etc/sudoers文件,添加如下行:
  • Defaults logfile=/var/log/sudo.log
  • Defaults !syslog
  • visudo -c 可以检查配置文件语法
举报

相关推荐

0 条评论