复习linux——sudo授权

sudo允许系统管理员让普通用户执行一些或者全部的root命令的一个工具
原理：超级用户将普通用户的名字、可以执行的特定命令、按哪种用户或用户组的身份执行等信息登记在特殊文件（/etc/sudoers）

sudo特性

sudo能够授权指定用户在指定主机上运行某些命令
sudo提供了丰富的日志，详细记录了每个用户干了什么。他能够将日志传到中心主机或者日志服务器
sudo的配置文件是/etc/sudoers,它允许系统管理员集中的管理用户的使用权限和使用的主机

sudo组成

配置文件：/etc/sudo.conf
包：sudo
授权规则配置文件：/etc/sudoers     /etc/sudoers.d
安全编辑授权规则文件和语法检查工具：/usr/sbin/visudo
授权编辑规则文件的工具:/usr/bin/sudoedit
执行权限命令：/usr/bin/sudo
实间戳文件：/var/db/sudo
日志文件：/var/log/secure

sudo命令

sudo [-u user] COMMAND
-V 显示版本信息等配置信息    -u user      -l 列出用户在主机上可用的和被禁止的命令
-k  清除时间戳            -b 在后台执行指令    -p 改变询问密码的提示符号
-K 与-k类似，还要删除时间戳文件

sudo授权规则配置

配置文件格式说明：/etc/sudoers   /etc/sudoers.d/
配置文件规则有两类：1.别名定义（不是必须的）       2.授权规则（必须的）

sudoers授权规则格式

用户             登陆主机=（代表用户）      命令
user               host=（runas）                  command

root   ALL=（ALL）   ALL

格式说明：
user：运行命令者的身份
host：通过哪些主机
（runas）：以哪个用户的身份
command：运行哪些命令

sudoers的别名

user和runas：  username、#uid、%group_name、%#gid、user_alias|runas_alias
host:ip或hostname、network(/netmask)/host_alias
command:command name、directory、sudoedit、Cmnd_Alias

sudo别名有四种类型：User_Alias    Runas_Alias   Host_Alias   Cmnd_Alias
别名定义：Alias_Type NAME1 = item1,item2,item3 : NAME2 = item4，item5