|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!sudo工具可以帮你把一局部体系办理的义务分摊给其别人,还不必给出完整的root会见权限。它是一个setuid步伐,只必要输出用户本人的暗码,就能够实行sudo前面的下令。
利用root帐号,运转/usr/bin/visudo来编纂那些用户能够挪用sudo下令的用户列表,缺省的sudo列表看上往相似上面如许:
援用
rootALL=(ALL)ALL
很不幸,良多体系办理间接把这条看成了模板,然后受权给其他用户,就像如许:
援用
rootALL=(ALL)ALL
workALL=(ALL)ALL
testALL=(ALL)ALL
下面这类形式使得work和test帐号具有完整的root权限,还不必要root帐号的暗码。假如你受权的这些帐号假如是完整可托赖的,那这是一个不错的***,惋惜,信任并非那末说的分明。
因而我们必要依照最小准绳来给特定的帐号受权,我们先看看sudo列表文件的语法,在sudo列内外,每行应当是上面这个模样:
援用
usermachine=(effectiveuser)command
第一列(user)指定要受权的帐号。第二列(machine)界说在那些呆板上,这条实行失效,其优点是在多台呆板上利用统一份设置文件。
举个例子,假定有一个开辟职员必要在开辟办事器上取得root会见权限,在其他办事器上就不可,那末我们如许做
援用
stevenbeta.xplore.cn=(ALL)ALL
第三列(就是括号里的effectiveuser)指定实践实行该下令的帐号,这就便利一个帐号同意用别的一个帐号来实行特定的下令,而不非得是root帐号:
援用
stevenmail.xplore.cn=(mailman)ALL
最初一列(command)指定以是这个帐号看能够在sudo情况下实行的指令:
援用
kevinns.xplore.cn=(bind)/usr/sbin/rndc,/usr/sbin/named
假如你以为在指定用户大概呆板大概下令时列表太长(好比良多帐号受权不异,一个帐号必要指定的下令和呆板列表太长),我们可使用sudo列内外Alias语法,Alias的语法和shell情况变量中alias相似,你能够当作是一个变量:
援用
user_AliasADMINS=wgzhao,kevin,steven
User_AliasWEBMASTERS=xplore,glemir,xinhe
Runas_AliasDAEMONS=bind,www,ftp
Host_AliasWEBSERVERS=www.xplore.cn,www.lawburn.com
Cmnd_AliasPROCS=/bin/kill,/bin/killall,/usr/bin/skill,/usr/bin/top
Cmnd_AliasAPACHE=/usr/bin/apachectl
WEBMASTERSWEBSERVERS=(www)APACHE
ADMINSALL=(DAEMONS)ALL
以上都是针对帐号的,实在第一列中也能够指定组帐号,暗示同意一切属于这个组的帐号都取得如许的受权,语法上,只必要在组帐号之前加上一个%号,就像如许:
援用
%mailWEBSERVERS=(mail)sendmail
如今,属于mail组的帐号都能够在WEBSERVERS界说的办事器上用mail帐号来实行sendmail指令。
除此以外,另有一个有效的标记,那就是NOPASSWD:。假如设置了这个标记,暗示以后受权的帐号实行前面的帐号不必要输出以后帐号的暗码:
援用
xploreALL=(ALL)NOPASSWD:PROCS
这同意帐号xplore能够用任何帐号实行kill,killall,skill和top指令,还不必输出暗码。
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 20:27:16
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-1-24 22:07:22