九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

7.10 visudo：編輯 sudoers文件

?? ?visudo命令是專門用來編輯/etc/sudoers這個文件的，同時提供語法檢查等功能。/etc/sudoers文件是sudo命令的配置文件。?-c?? ?手動執(zhí)行語法檢查?執(zhí)行visudo 對普通用戶lewen和kevin授權(quán)的例子。?

[root@cs6 ~]# visudo?
lewen       ALL=(ALL)           ALL    #<==此行是98行，將lewen提權(quán)為root身份。kevin       ALL=(ALL)           /usr/sbin/useradd,/usr/sbin/userdel    #<==授權(quán)kevin 可以以root身份添加和刪除用戶權(quán)限。    #<==分別對lewen和kevin兩個用戶做不同的授權(quán)  user     MACHINE=     COMMANDSlewen    ALL=(ALL)    /usr/sbin/useradd、/usr/sbin/userdel

　　提示：如果kevin用戶被授予上述權(quán)限，那么它可在所有的機器上以所有的角色運行useradd、userdel命令，而oldboy用戶別會擁有和root相同的權(quán)限，并且可以切換到root賬戶。如果是針對用戶組，則對應(yīng)的授權(quán)命令如下：??%用戶組 機器=（授權(quán)使用哪個角色的權(quán)限） /usr/sbin/useradd????? ?通過sudo進行系統(tǒng)授權(quán)管理的目的：即能讓運維人員干活，又不會威脅系統(tǒng)安全，還可以審計用戶使用sudo的提權(quán)操作命令，默認的用戶是無法獲得root權(quán)限的。?? ?為了管理方便，工作中可以對lewen授權(quán)ALL權(quán)限，即可以管理整個系統(tǒng)，平時可以使用lewen用戶處理工作，而不使用root用戶。?例如：工作中有批量管理用戶的需求，若使用快速操作命令增加sudo授權(quán)，則需要單獨執(zhí)行語法檢查，快速操作命令如下：

\cp /etc/sudoers /etc/sudoers.oriecho "lewen ALL=（ALL） NOPASSWD:ALL" >>/etc/sudoerstail -l /etc/sudoers

?? ?進行上述操作時直接追加內(nèi)容到sudoers文件，沒有進行語法檢查，因此需要單獨執(zhí)行語法檢查命令。?

[root@cs6 ~]# visudo -c/etc/sudoers: parsed OK

7.11 sudo：以另一個用戶身份執(zhí)行命令

?? ?通過sudo命令，可以讓普通用戶在執(zhí)行指定的命令或程序上，擁有超級用戶的權(quán)限，進行分類，并且有針對性地（精細）將不同的命令授予指定的普通用戶，同時普通用戶不需要知道root 密碼就可以得到授權(quán)，這個授權(quán)可以用visudo配置管理。?-l?? ?列出當前用戶可以執(zhí)行的命令。只有在sudoers文件里的用戶才能使用該選項-h?? ?列出使用方法，并退出-H?? ?將環(huán)境變量中的HOME（家目錄）指定為要變更身份的使用者家目錄（如果不加-u 參數(shù)就是系統(tǒng)管理者root）-V?? ?顯示版本信息，并退出-v?? ?sudo在第一次執(zhí)行時，或者在N分鐘內(nèi)沒有執(zhí)行（N預(yù)設(shè)為五），則會詢問密碼，這個參數(shù)用于重新做一次確認-u?? ?以指定用戶的身份執(zhí)行命令。后面是除root以外的用戶，可以是用戶名，也可以是uid-k?? ?清除時間截上的時間，下次再使用sudo時要再輸入密碼-K?? ?與k類似，同時還要刪除時間戳文件-b?? ?在后臺執(zhí)行指定的命令-p?? ?可以更改詢問密碼時的提示語-e?? ?不執(zhí)行命令，而是修改文件，相當于命令sudo edit??查看用戶被visudo授權(quán)后擁有的權(quán)限。已經(jīng)對lewen用戶進行過授權(quán)，此時再以lewen用戶的身份登錄系統(tǒng)時，就可以通過執(zhí)行類似于sudo ls -l /root（sudo后面加正常命令）的命令來以root用戶的權(quán)限管理系統(tǒng)了，命令如下：?

[root@cs6 ~]# su lewen[lewen@cs6 root]$ lsls: cannot open directory .: Permission denied[lewen@cs6 root]$ sudo lscentos6_10.iso    dev_sdb1.img  fav.jpg  lewen.log  lewen.nc  nohup.out  test.data  test.test_u  test.txt  #log  web.sh[lewen@cs6 root]$

通過sudo授權(quán)管理之后，所有用戶執(zhí)行授權(quán)的特殊權(quán)限格式為“sudo命令”。如果需要切換到root執(zhí)行相關(guān)操作，則可以通過“sudo su -”命令，注意，此命令提示的密碼為當前用戶的密碼，而不是root的密碼。執(zhí)行“sudo -l”命令可以查看當前用戶被授予的sudo權(quán)限集合。

  [kevin@cs6 root]$ sudo ls[sudo] password for kevin:Sorry, user kevin is not allowed to execute '/bin/ls' as root on cs6.[kevin@cs6 root]$ sudo -l[sudo] password for kevin:Matching Defaults entries for kevin on this host:    !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",    env_keep ="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep ="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT    LC_MESSAGES", env_keep ="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep ="LC_TIME LC_ALL LANGUAGE LINGUAS    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin User kevin may run the following commands on this host:    (ALL) /usr/sbin/useradd, (ALL) /usr/sbin/userdel

對于Linux系統(tǒng)bash的內(nèi)置命令，一般無法進行sudo授權(quán)，例如：cd命令。sudo 授權(quán)與su切換的原理示意圖如圖7-1所示。???? ?在生產(chǎn)環(huán)境中，通常會禁止root遠程登錄，不過，系統(tǒng)會為每個運維人員建立一個普通賬號，然后根據(jù)運維人員的需求，通過sudo控制登錄系統(tǒng)的權(quán)限，事實證明這是一個不錯的權(quán)限管理方式。當然，在筆者的生產(chǎn)環(huán)境中還使用了ldap統(tǒng)一認證登錄及授權(quán)管理的方式。即只要有一個賬號和密碼，即可在全公司多個機房系統(tǒng)內(nèi)通行無阻（系統(tǒng)登錄、SVN、VPN等），有關(guān)這部分內(nèi)容的講解，在老男孩教學(xué)的高級課程中會有涉及。在此大家了解下即可。?? ?普通用戶的環(huán)境變量問題：在早期的CentOS5系統(tǒng)中，普通用戶執(zhí)行系統(tǒng)管理的相關(guān)命令時會遭遇到環(huán)境變量問題，導(dǎo)致找不到執(zhí)行的命令（CentOS6以后的系統(tǒng)已經(jīng)不存在這個問題了）?！udo授權(quán)對于bash內(nèi)置命令的處理是一個難題，因為內(nèi)置命令沒有實體文件和路徑，不過一般也有解決方法，例如可以使用sudo ls替代sudo cd，有的網(wǎng)友會在使用sudo bash后再使用內(nèi)置命令，這是很危險的，不推薦。??

[root@cs6 ~]# ll /var/db/sudo/total 8drwx------. 2 root kevin 4096 May 12 11:30 kevindrwx------. 2 root sa    4096 May 12 11:05 lewen

?? ?待用戶執(zhí)行sudo并且輸入密碼之后，用戶會獲得一張默認存活期為5分鐘的“人場券”（默認值可以在編譯的時候改變）。但超時以后，用戶就必須重新輸入密碼了。?? ?可以使用sudo的-k或-K參數(shù)清空sudo用戶的時間戳，這樣還會提示輸入密碼，但是如果配置授權(quán)對應(yīng)用戶時加了NOPASSWD選項，那么執(zhí)行sudo命令時則永久不會提示輸入密碼了。?sudo的配置文件/etc/sudoers通過以下命令可以看到sudo的配置文件/etc/sudoers里的內(nèi)容。

[root@cs6 ~]# ll /etc/sudoers-r--r-----. 1 root root 3841 May 12 11:07 /etc/sudoers

?? ?建議用visudo編輯該文件，因為該命令有語法檢查，否則一旦出錯了，普通用戶就無法使用sudo了。直接在命令行執(zhí)行visudo 即可自動打開/etc/sudoers文件。如果通過vi來編輯/etc/sudoers，則保存時要用“wq！”來強制保存，否則會提示只讀不能保存的錯誤，而且最后還要用visudo -c進行語法檢查，這樣實在太麻煩！??來源：http://www.icode9.com/content-4-188751.html