LAB_Sudo命令.pdfVIP

关于 linux 中的 sudo —— 银河学院 “Sudo” 是 Unix/Linux 平台上的一个非常有用的工具，它允许系统管理员分配给普通用户一些合理的“权利”， 让他们执行一些只有超级用户或其他特许用户才能完成的任务，比如：运行一些像 mount，halt，su 之类的命令，或 者编辑一些系统配置文件，像/etc/mtab， /etc/samba/smb.conf 等。这样一来，就不仅减少了 root 用户的登陆次 数和管理时间，也提高了系统性。 大家都知道，在 Derbian 和 Ububtu 中，为了安全起见，以普通用户登录以后在终端中不允许通过 su 命令来切 换为超级用户，想要代替超级用户执行命令必须通过 sudo 命令来实现，因为使用 sudo 命令确实比使用 su 更加安全。 例如，在使用 su 的时候，由于本身属于超级用户 root 可以对任何文件进行任何操作，如果一不小心删除了某些系统 所需的重要文件，将会引起及其严重的后果。而使用 sudo 临时性以 root 身份执行某个命令时，系统会自动检察用户 是否拥有这个权限，如果没有则提醒用户，如果有则可以执行该命令。 在基于 RedHat 的 Linux 发行版（Fedora, RHEL, RedHat, 红旗……）的系统中默认使用的是 su ，而非 sudo， 如果想要使用 sudo，必须正确配置/etc/sudoers 文件。在使用 sudo 的时候，系统查询 sudoers 里面给用户分配的 权限，然后根据查询结果进行相关操作。正确配置自己机器的 sudoers 文件，可以帮助我们打造一个更加安全的系统。 一. sudo 的特点 sudo 扮演的角色注定了它要在安全方面格外谨慎，否则就会导致非法用户攫取 root 权限。同时，它还要兼顾易 用性，让系统管理员能够更有效，更方便地使用它。sudo 设计者的宗旨是：给用户尽可能少的权限但仍允许完成他们 的工作。所以，sudo 有以下特点： 1. sudo 能够限制指定用户在指定主机上运行某些命令。 2. sudo 可以提供日志，忠实地记录每个用户使用 sudo 做了些什么，并且能将日志传到中心主机或者日志。 3. sudo 为系统管理员提供配置文件/etc/sudoers，允许系统管理员集中地管理用户的使用权限和使用的主机。 4. sudo 使用时间戳文件来完成类似“检票”的系统。当用户执行 sudo 并且输入密码后，用户获得了一张默认 存活期为 5 分钟的“入场券”（默认值可以在编译的时候改变）。超时以后，用户必须重新输入密码。 二. sudo 命令 sudo 程序本身就是一个设置了 SUID 位的二进制文件。我们可以检查一下它的权限： 它的所有者是 root，所以每个用户都可以像 root 那样执行该程序。设置了 SUID 的程序在运行时可以给使用者以 所有者的权限。这也是为什么设置了 SUID 的程序必须小心编写。但是设置一个命令文件的 SUID 和用 sudo 来运行它 是不同的概念，它们起着不同的作用。 sudo 的配置都记录在/etc/sudoers 文件中，配置文件指明哪些用户可以执行哪些命令。要使用 sudo，用户必须 提供一个指定用户名和密码。注意： sudo 需要的不是目标用户的密码，而是执行 sudo 的用户的密码。如果不在 sudoers 中的用户通过 sudo 执行命令，sudo 会向管理员报告这一事件。用户可以通过 sudo -v 来查看自己是否是在 sudoers 之中。如果是，它还可以更新你的“入场券”上的时间；如果不是，它会提示你，但不会通知管理员。 sudo 命令格