sudo
使用 su 切换身份真的是很简单啦~不过, su 却有一个很严重的问题, 那就是.....我们必须要知道想要变成的那个人的登入密码~ 举例来说,如果我想要变成 root ,那么就必须要知道 root 的密码才行, 如果我想要变成 dmtsai 来工作,那么除非我是 root ,否则就必须要知道 dmtsai 这个使用者的密码才行~而众所皆知的,如果多人管理一部主机的话, 大家都知道 root 的密码,那......挺危险的,不是吗?! 这个时候, sudo 就派的上用场啰~那么 sudo 是怎样工作的呢?
• 当使用者执行 sudo 时,系统会主动的去寻找 /etc/sudoers 档案,判断该使用者是否有执行 sudo 的权限;
• 若使用者具有可执行 sudo 的权限后,便让使用者『输入使用者自己的密码』来确认;
• 若密码输入成功,便开始进行 sudo 后续接的指令;
• 不过, root 执行 sudo 时,不需要输入密码;
• 若欲切换的身份与执行者身份相同,那也不需要输入密码。
要注意的是,使用者『输入的是自己的密码,而不是欲切换成为他的那个身份的密码!』 举例来说,假设 dmtsai 具有执行 sudo 的权限,那么当他以 sudo 执行 root 的工作时, 他需要输入的是 dmtsai 自己的密码,而不是 root 的密码!嘿嘿!很棒吧! ^_^ 如此一来,大家可以使用自己的密码执行 root 的工作,而不必知道 root 的密码,安全多了。 此外,使用者能够执行的指令是可以被限制的! 所以,我们可以设定 dmtsai 仅能进行 shutdown 的工作,或者是其它一些简单的指令, 嘿嘿!是否很棒啊! 不过,由上面的说明当中,您也会了解,是否具有 sudo 的执行权限是很重要的, 而 sudo 的执行权限与 /etc/sudoers 这的档案有关。在预设的情况下,只有 root 才能够使用 sudo 呢!至于编辑 /etc/sudoers 则需要 visudo 这个指令。好了, 底下我们就来看一看 sudo 的语法先。
[root@linux ~]# sudo [-u [username|#uid]] command
参数:
-u :后面可以接使用者账号名称,或者是 UID。例如 UID 是 500 的身份,可以:
-u #500 来作为切换到 UID 为 500 的那位使用者。
范例:
范例一:一般身份使用者使用 sudo 在 /root 底下建立目录:
[dmtsai@linux ~]$ sudo mkdir /root/testing
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password: <==这里输入 dmtsai 自己的密码
dmtsai is not in the sudoers file. This incident will be reported.
# 瞧!因为 dmtsai 不在 /etc/sudoers ,所以他就无法执行 sudo 喔!
范例二:假设 dmtsai 已经具有 sudo 的执行权限,如何在 /root 底下建立目录?
[dmtsai@linux ~]$ sudo mkdir /root/testing
Password: <==这里输入 dmtsai 自己的密码
范例三:如何将 sudo 与 su 搭配使用?
[dmtsai@linux ~]$ sudo su -
范例四:dmtsai 想要切换身份成为 vbird 来进行 touch 时?
[dmtsai@linux ~]$ sudo -u vbird touch /home/vbird/test
上面我进行了四个范例,不过,要注意的是,若我是以 dmtsai 来进行的, 那么除了第一次执行 sudo 需要输入密码,未来的时间内(在这次登入的状况中)就不需要再重复输入密码了! 呼呼!真是很人性啊的设计啊~ ^_^ 上面这四个范例我都是以 dmtsai 这个使用者来进行的,但是,在预设的情况中, 您的使用者应该是不能使用 sudo 的~这是因为我们上面提到的啊,还没有去设定 /etc/sudoers 嘛! 所以啰,如果您要测试上面的范例之前,是需要将 /etc/sudoers 动动手脚的。 不过,因为 /etc/sudoers 需要一些比较特别的语法,因此,如果你直接以 vi 去编辑他时, 如果输入的字句错误,可能会造成无法启用 sudo 的困扰,因此,建议您一定要使用 visudo 去编辑 /etc/sudoers 喔!(注: visudo 必须要使用 root 的身份来执行!)
[root@linux ~]# visudo
# sudoers file.
# This file MUST be edited with the 'visudo' command as root.
# See the sudoers man page for the details on how to write a sudoers file.
#
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults specification
# Runas alias specification
# User privilege specification
root ALL=(ALL) ALL
dmtsai ALL=(ALL) ALL <==这里将 dmtsai 制作成完全可用!
# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
# Samples
# %users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now
使用 visudo 之后,其实就会出现一个 vi 的画面啦!他就是以 vi 来开启 /etc/sudoers , 不过,当我们储存离开时, visudo 会额外去检查 /etc/sudoers 内部的语法, 以避免使用者输入错误的信息了。我上面只有加入一行,就是让那个 dmtsai 成为可以随意使用 sudo 的身份而已。基本上, /etc/sudoers 的结构您可以使用 man sudoers 去查阅, 该说明内容说的很清楚,而且还有一些范例呢!鸟哥在这里仅作一些简单的说明就是了。 那一行『 dmtsai ALL=(ALL) ALL 』代表的意义是:
使用者账号 登入的主机 = (可以变换的身份) 可以下达的指令
因此,我上面这一行的意义是:『 dmtsai 这个使用者,不论来自何方, 他可以变换成任何 Linux 本机上面有的所有账号,并执行所有的指令』的意思啦! 假如您的系统里面,有个 Web 的软件是以 www 这个使用者来进行编辑的, 您想要让 vbird2 这个使用者可以用 www 这个账号进行编辑,那么就应该写成:
vbird2 ALL = (www) ALL
如果错写成:
vbird2 ALL = ALL
亦即没有加上身份宣告的话,那么『预设是仅能进行 root 的身份切换』而已喔! ^_^ 这可是很重要的一个观念呢!另外,如果想要以使用者的群组来进行规范的话,那么在 『使用者账号』的字段,前面加上『 % 』时,就代表是群组 (group) 的身份了。 举例来说,我想要让系统里面所有属于 wheel 这个群组的使用者都能够进行 sudo 时,可以这样写:
%wheel ALL = (ALL) ALL
而如果你还想要让这个群组内的使用者在使用 sudo 时,不需要输入密码, 那么可以在『可以下达的指令』那个字段内多加入一个参数,名为『NOPASSWD:』即可,亦即:
%wheel ALL = (ALL) NOPASSWD: ALL
另外,除了单一个人或单一群组之外,我们还可以额外指定一些『账号别名、主机别名、指令别名』 等等的数据来相互套用喔!真是好棒啊!不过,关于别名的使用上,『必须要使用大写字符』才行喔! 好了,我们来做一些练习,让您可以很清楚的知道如何进行 visudo 的设定吧!
例题:我想要建立一个可以帮忙系统管理员变更使用者密码的群组,名称为 ADMPW ( 注意,在 sudoers 内,这个别名的名称一定要是大写字符才行!)但是这个群组不能修改 root 的密码喔!且他们执行 sudo 时,不需要密码验证。 答:
我以 root 的身份使用 visudo ,进入编辑画面后,去设定成底下的模样:
User_Alias ADMPW = vbird, dmtsai, vbird1, vbird3
ADMPW ALL = NOPASSWD: !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, \
!/usr/bin/passwd root
上面的意思是说,我的系统上面有四个账号,分别是 vbird, vbird1, vbird3 与 dmtsai 这四个账号加入 sudo 内的 ADMPW 群组中,这四个账号可以使用 sudo 进行『 /usr/bin/passwd * 』密码的更改动作,但是不能 (在指令前面加入 ! 代表不可) 使用 /usr/bin/passwd 或 /usr/bin/passwd root ,如此一来,就让该 ADMPW 可以更改使用者的密码,但是不能变更 root 的密码啰! ^_^
在 /etc/sudoers 里头加入别名有很多的好处,举例来说,以上面的例子来讲, 假设未来我有其它的使用者要加入该密码管理的群组时,直接将账号加入 ADMPW 那个群组中就好了,很简单的使用吧! ^_^。再看看下一题:
例题:我的系统中有 DNS 服务,他的启动指令在 /etc/init.d/named ,如果我想要建立一个
DNSMASTER 的群组来管理他时?如何是好? 答:
我以 root 的身份使用 visudo ,进入编辑画面后,去设定成底下的模样:
User_Alias DNSMASTER = vbird, dmtsai
Cmnd_Alias DNSCMD = /etc/init.d/named, /usr/bin/vim /var/named/*
DNSMASTER ALL = DNSCMD
看的懂吗?嘿嘿!因为 DNS 的设定档大多在 /var/named 里面,所以,我也允许相关账号用 vi 去处理 DNS 的设定档啦!很简单对吧! ^_^
好了,我们知道 sudo 可以搭配 su 来进行一堆系统的工作对吧! 因为 sudo 仅能进行一次指令,很麻烦,如果我能够将 sudo 与 su 搭配在一起,不就很棒了吗? 这个时候,我可以利用上面已经建立好的 ADMPW 群组来新增这一行:
ADMPW ALL = /bin/su
如此一来,在 ADMPW 内的使用者,就可以利用『 sudo su - 』来切换身份成为 root 啰~ 真是棒得不得了啊! ^_^
