/linuxprobe/
5.6 su命令与sudo服务
  1. 第0章 咱们先来谈谈学习方法和红帽系统。
    1. 0.1 本书作者简介
    2. 0.2 学习是件苦差
    3. 0.3 开源共享精神
    4. 0.4 为什么学习Linux系统?
    5. 0.5 常见的Linux系统版本
    6. 0.6 优秀的RHEL7系统
    7. 0.7 了解红帽认证
    8. 0.8 感谢你们相信并选择我
  2. 第1章 部署虚拟环境安装linux系统。
    1. 1.1 准备您的工具
    2. 1.2 安装配置VM虚拟机
    3. 1.3 安装您的Linux系统
    4. 1.4 重置root用户密码
    5. 1.5 RPM红帽软件包
    6. 1.6 Yum软件仓库
    7. 1.7 Systemd初始化进程
  3. 第2章 新手必须掌握的Linux命令。
    1. 2.1 强大好用的SHELL
    2. 2.2 执行查看帮助命令
    3. 2.3 常用系统工作命令
    4. 2.4 系统状态检测命令
    5. 2.5 工作目录切换命令
    6. 2.6 文本文件编辑命令
    7. 2.7 文件目录管理命令
    8. 2.8 打包压缩与搜索命令
  4. 第3章 管道符、重定向与环境变量。
    1. 3.1 输入输出重定向
    2. 3.2 管道命令符
    3. 3.3 命令行的通配符
    4. 3.4 常用的转义字符
    5. 3.5 重要的环境变量
  5. 第4章 Vim编辑器与Shell命令脚本。
    1. 4.1 Vim文本编辑器
    2. 4.1.1 编写简单文档
    3. 4.1.2 配置主机名称
    4. 4.1.3 配置网卡信息
    5. 4.1.4 配置Yum仓库
    6. 4.2.1 编写简单的脚本
    7. 4.2.2 接收用户的参数
    8. 4.2.3 判断用户的参数
    9. 4.3.1 if条件测试语句
    10. 4.3.2 for条件循环语句
    11. 4.3.3 while条件循环语句
    12. 4.3.4 case条件测试语句
    13. 4.4 计划任务服务程序
  6. 第5章 用户身份与文件权限。
    1. 5.1 用户身份与能力
    2. 5.2 文件权限与归属
    3. 5.3 文件的特殊权限
    4. 5.4 文件的隐藏属性
    5. 5.5 文件访问控制列表
    6. 5.6 su命令与sudo服务
  7. 第6章 存储结构与磁盘划分。
    1. 6.1 一切从“/”开始
    2. 6.2 物理设备的命名规则
    3. 6.3 文件系统与数据资料
    4. 6.4 挂载硬件设备
    5. 6.5 添加硬盘设备
    6. 6.6 添加交换分区
    7. 6.7 磁盘容量配额
    8. 6.8 软硬方式链接
  8. 第7章 使用RAID与LVM磁盘阵列技术。
    1. 7.1 RAID磁盘冗余阵列
    2. 7.1.1 部署磁盘阵列
    3. 7.1.2 损坏磁盘阵列及修复
    4. 7.1.3 磁盘阵列+备份盘
    5. 7.2 LVM逻辑卷管理器
    6. 7.2.1 部署逻辑卷
    7. 7.2.2 扩容逻辑卷
    8. 7.2.3 缩小逻辑卷
    9. 7.2.4 逻辑卷快照
    10. 7.2.5 删除逻辑卷
  9. 第8章 Iptables与Firewalld防火墙。
    1. 8.1 防火墙管理工具
    2. 8.2 Iptables
    3. 8.2.1 策略与规则链
    4. 8.2.2 基本的命令参数
    5. 8.3 Firewalld
    6. 8.3.1 终端管理工具
    7. 8.3.2 图形管理工具
    8. 8.4 服务的访问控制列表
  10. 第9章 使用ssh服务管理远程主机。
    1. 9.1.1 配置网卡参数
    2. 9.1.2 创建网络会话
    3. 9.1.3 绑定两块网卡
    4. 9.2.1 配置sshd服务
    5. 9.2.2 安全密钥验证
    6. 9.2.3 远程传输命令
    7. 9.3 不间断会话服务
    8. 9.3.1 管理远程会话
    9. 9.3.2 会话共享功能
  11. 第10章 使用Apache服务部署静态网站。
    1. 10.1 网站服务程序
    2. 10.2 配置服务文件参数
    3. 10.3 SELinux安全子系统
    4. 10.4 个人用户主页功能
    5. 10.5 虚拟网站主机功能
    6. 10.5.1 基于IP地址
    7. 10.5.2 基于主机域名
    8. 10.5.3 基于端口号
    9. 10.6 Apache的访问控制
  12. 第11章 使用Vsftpd服务传输文件。
    1. 11.1 文件传输协议
    2. 11.2 Vsftpd服务程序
    3. 11.2.1 匿名访问模式
    4. 11.2.2 本地用户模式
    5. 11.2.3 虚拟用户模式
    6. 11.3 TFTP简单文件传输协议
  13. 第12章 使用Samba或NFS实现文件共享。
    1. 12.1 SAMBA文件共享服务
    2. 12.1.1 配置共享资源
    3. 12.1.2 Windows挂载共享
    4. 12.1.3 Linux挂载共享
    5. 12.2 NFS网络文件系统
    6. 12.3 AutoFs自动挂载服务
  14. 第13章 使用Bind提供域名解析服务。
    1. 13.1 DNS域名解析服务
    2. 13.2 安装Bind服务程序
    3. 13.2.1 正向解析实验
    4. 13.2.2 反向解析实验
    5. 13.3 部署从服务器
    6. 13.4 安全的加密传输
    7. 13.5 部署缓存服务器
    8. 13.6 分离解析技术
  15. 第14章 使用DHCP动态管理主机地址。
    1. 14.1 动态主机地址管理协议
    2. 14.2 部署dhcpd服务程序
    3. 14.3 自动管理IP地址
    4. 14.4 分配固定IP地址
  16. 第15章 使用Postfix与Dovecot部署邮件系统。
    1. 15.1 电子邮件系统
    2. 15.2.1 配置Postfix服务程序
    3. 15.2.2 配置Dovecot服务程序
    4. 15.3 设置用户别名邮箱
  17. 第16章 使用Squid部署代理缓存服务。
    1. 16.1 代理缓存服务
    2. 16.2 配置Squid服务程序
    3. 16.3.1 标准正向代理
    4. 16.3.2 ACL访问控制
    5. 16.3.3 透明正向代理
    6. 16.4 反向代理
  18. 第17章 使用iSCSI服务部署网络存储。
    1. 17.1 iSCSI技术介绍
    2. 17.2 创建RAID磁盘阵列
    3. 17.3 配置iSCSI服务端
    4. 17.4 配置Linux客户端
  19. 第18章 使用MariaDB数据库管理系统。
    1. 18.1 数据库管理系统
    2. 18.2 初始化mariaDB服务
    3. 18.3 管理用户以及授权
    4. 18.4 创建数据库与表单
    5. 18.5 管理表单及数据
    6. 18.6 数据库的备份及恢复
  20. 第19章 使用PXE+Kickstart无人值守安装服务。
    1. 19.1 无人值守系统
    2. 19.2.1 配置DHCP服务程序
    3. 19.2.2 配置TFTP服务程序
    4. 19.2.3 配置SYSLinux服务程序
    5. 19.2.4 配置VSFtpd服务程序
    6. 19.2.5 创建KickStart应答文件
    7. 19.3 自动部署客户机
  21. 第20章 使用LNMP架构部署动态网站环境。
    1. 20.1 源码包程序
    2. 20.2 LNMP动态网站架构
    3. 20.2.1 配置Mysql服务
    4. 20.2.2 配置Nginx服务
    5. 20.2.3 配置php服务
    6. 20.3 搭建Discuz论坛
    7. 20.4 选购服务器主机
阅读(661) (7)

5.6 su命令与sudo服务

2019-04-17 12:55:03 更新

各位读者在实验环境中很少遇到安全问题,并且为了避免因权限因素导致配置服务失败,从而建议使用root管理员来学习本书,但是在生产环境中还是要对安全多一份敬畏之心,不要用root管理员去做所有事情。因为一旦执行了错误的命令,可能会直接导致系统崩溃,这样一来,不但客户指责、领导批评,没准奖金也会鸡飞蛋打。但转头一想,尽管Linux系统为了安全性考虑,使得许多系统命令和服务只能被root管理员来使用,但是这也让普通用户受到了更多的权限束缚,从而导致无法顺利完成特定的工作任务。

su命令可以解决切换用户身份的需求,使得当前用户在不退出登录的情况下,顺畅地切换到其他用户,比如从root管理员切换至普通用户:

    [root@linuxprobe ~]# id 
    uid=0(root) gid=0(root) groups=0(root)
    [root@linuxprobe ~]# su - linuxprobe
    Last login: Wed Jan 4 01:17:25 EST 2017 on pts/0
    [linuxprobe@linuxprobe ~]$ id 
    uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

细心的读者一定会发现,上面的su命令与用户名之间有一个减号(-),这意味着完全切换到新的用户,即把环境变量信息也变更为新用户的相应信息,而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号(-)。

另外,当从root管理员切换到普通用户时是不需要密码验证的,而从普通用户切换成root管理员就需要进行密码验证了;这也是一个必要的安全检查:

    [linuxprobe@linuxprobe root]$ su root
    Password:
    [root@linuxprobe ~]# su - linuxprobe
    Last login: Mon Aug 24 19:27:09 CST 2017 on pts/0
    [linuxprobe@linuxprobe ~]$ exit
    logout
    [root@linuxprobe ~]#

尽管像上面这样使用su命令后,普通用户可以完全切换到root管理员身份来完成相应工作,但这将暴露root管理员的密码,从而增大了系统密码被黑客获取的几率;这并不是最安全的方案。

刘遄老师接下来将介绍如何使用sudo命令把特定命令的执行权限赋予给指定用户,这样既可保证普通用户能够完成特定的工作,也可以避免泄露root管理员密码。我们要做的就是合理配置sudo服务,以便兼顾系统的安全性和用户的便捷性。sudo服务的配置原则也很简单—在保证普通用户完成相应工作的前提下,尽可能少地赋予额外的权限。

sudo命令用于给普通用户提供额外的权限来完成原本root管理员才能完成的任务,格式为“sudo [参数] 命令名称”。sudo服务中可用的参数以及相应的作用如表5-7所示。

表5-7 sudo服务中的可用参数以及作用

参数 作用
-m 修改权限
-M 从文件中读取权限
-x 删除某个权限
-b 删除全部权限
-R 递归子目录

总结来说,sudo命令具有如下功能:

限制用户执行指定的命令:

记录用户执行的每一条命令;

配置文件(/etc/sudoers)提供集中的用户管理、权限与主机等参数;

验证密码的后5分钟内(默认值)无须再让用户再次验证密码。

当然,如果担心直接修改配置文件会出现问题,则可以使用sudo命令提供的visudo命令来配置用户权限。这条命令在配置用户权限时将禁止多个用户同时修改sudoers配置文件,还可以对配置文件内的参数进行语法检查,并在发现参数错误时进行报错。

只有root管理员才可以使用visudo命令编辑sudo服务的配置文件。

    visudo: >>> /etc/sudoers: syntax error near line 111 <<<
    What now?
    Options are:
    (e)dit sudoers file again
    (x)it without saving changes to sudoers file
    (Q)uit and save changes to sudoers file (DANGER!)

使用visudo命令配置sudo命令的配置文件时,其操作方法与Vim编辑器中用到的方法一致,因此在编写完成后记得在末行模式下保存并退出。在sudo命令的配置文件中,按照下面的格式将第99行(大约)填写上指定的信息:

谁可以使用 允许使用的主机=(以谁的身份) 可执行命令的列表

    [root@linuxprobe ~]# visudo
     96 ##
     97 ## Allow root to run any commands anywhere
     98 root ALL=(ALL) ALL
     99 linuxprobe ALL=(ALL) ALL

在填写完毕后记得要先保存再退出,然后切换至指定的普通用户身份,此时就可以用sudo -l命令查看到所有可执行的命令了(下面的命令中,验证的是该普通用户的密码,而不是root管理员的密码,请读者不要搞混了):

    [root@linuxprobe ~]# su - linuxprobe
    Last login: Thu Sep 3 15:12:57 CST 2017 on pts/1
    [linuxprobe@linuxprobe ~]$ sudo -l
    [sudo] password for linuxprobe:此处输入linuxprobe用户的密码
    Matching Defaults entries for linuxprobe on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS
    DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1
    PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE
    LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL
    LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
    User linuxprobe may run the following commands on this host:
    (ALL) ALL

接下来是见证奇迹的时刻!作为一名普通用户,是肯定不能看到root管理员的家目录(/root)中的文件信息的,但是,只需要在想执行的命令前面加上sudo命令就可以了:

    [linuxprobe@linuxprobe ~]$ ls /root
    ls: cannot open directory /root: Permission denied
    [linuxprobe@linuxprobe ~]$ sudo ls /root
    anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates
    Desktop Downloads Music Public Videos

效果立竿见影!但是考虑到生产环境中不允许某个普通用户拥有整个系统中所有命令的最高执行权(这也不符合前文提到的权限赋予原则,即尽可能少地赋予权限),因此ALL参数就有些不合适了。因此只能赋予普通用户具体的命令以满足工作需求,这也受到了必要的权限约束。如果需要让某个用户只能使用root管理员的身份执行指定的命令,切记一定要给出该命令的绝对路径,否则系统会识别不出来。我们可以先使用whereis命令找出命令所对应的保存路径,然后把配置文件第99行的用户权限参数修改成对应的路径即可:

    [linuxprobe@linuxprobe ~]$ exit
    logout
    [root@linuxprobe ~]# whereis cat
    cat: /usr/bin/cat /usr/share/man/man1/cat.1.gz /usr/share/man/man1p/cat.1p.gz
    [root@linuxprobe ~]# visudo
     96 ##
     97 ## Allow root to run any commands anywhere
     98 root ALL=(ALL) ALL
     99 linuxprobe ALL=(ALL) /usr/bin/cat

在编辑好后依然是先保存再退出。再次切换到指定的普通用户,然后尝试正常查看某个文件的内容,此时系统提示没有权限。这时再使用sudo命令就可以顺利地查看文件内容了:

    [root@linuxprobe ~]# su - linuxprobe
    Last login: Thu Sep 3 15:51:01 CST 2017 on pts/1
    [linuxprobe@linuxprobe ~]$ cat /etc/shadow
    cat: /etc/shadow: Permission denied
    [linuxprobe@linuxprobe ~]$ sudo cat /etc/shadow
    root:$6$GV3UVtX4ZGg6ygA6$J9pBuPGUSgZslj83jyoI7ThJla9ZAULku3BcncAYF00Uwk6Sqc4E36MnD1hLtlG9QadCpQCNVJs/5awHd0/pi1:16626:0:99999:7:::
    bin:*:16141:0:99999:7:::
    daemon:*:16141:0:99999:7:::
    adm:*:16141:0:99999:7:::
    lp:*:16141:0:99999:7:::
    sync:*:16141:0:99999:7:::
    shutdown:*:16141:0:99999:7:::
    halt:*:16141:0:99999:7:::
    mail:*:16141:0:99999:7:::
    operator:*:16141:0:99999:7:::
    games:*:16141:0:99999:7:::
    ftp:*:16141:0:99999:7:::
    nobody:*:16141:0:99999:7:::
    ………………省略部分文件内容………………

大家千万不要以为到这里就结束了,刘遄老师还有更压箱底的宝贝。不知大家是否发觉在每次执行sudo命令后都会要求验证一下密码。虽然这个密码就是当前登录用户的密码,但是每次执行sudo命令都要输入一次密码其实也挺麻烦的,这时可以添加NOPASSWD参数,使得用户执行sudo命令时不再需要密码验证:

    [linuxprobe@linuxprobe ~]$ exit
    logout
    [root@linuxprobe ~]# whereis poweroff
    poweroff: /usr/sbin/poweroff /usr/share/man/man8/poweroff.8.gz
    [root@linuxprobe ~]# visudo
     96 ##
     97 ## Allow root to run any commands anywhere
     98 root ALL=(ALL) ALL
     99 linuxprobe ALL=NOPASSWD: /usr/sbin/poweroff

这样,当切换到普通用户后再执行命令时,就不用再频繁地验证密码了,我们在日常工作中也就痛快至极了。

    [root@linuxprobe ~]# su - linuxprobe
    Last login: Thu Sep 3 15:58:31 CST 2017 on pts/1
    [linuxprobe@linuxprobe ~]$ poweroff
    User root is logged in on seat0.
    Please retry operation after closing inhibitors and logging out other users.
    Alternatively, ignore inhibitors and users with 'systemctl poweroff -i'.
    [linuxprobe@linuxprobe ~]$ sudo poweroff
5.5 文件访问控制列表
6.1 一切从“/”开始

推荐文章

推荐教程

最新教程