sudo 使用 - 笨鸟教程的博客 | BY BenderFly

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [handerfly.github.io](https://handerfly.github.io/%E8%BF%90%E7%BB%B4/2019/08/17/sudo%E4%BD%BF%E7%94%A8/)

Linux 是多用户多任务的操作系统, 共享该系统的用户往往不只一个。出于安全性考虑, 有必要通过 useradd 创建一些非 root 用户, 只让它们拥有不完全的权限; 如有必要，再来提升权限执行。 　　sudo 就是来解决这个需求的: 这些非 root 用户不需要知道 root 的密码，就可以提权到 root，执行一些 root 才能执行的命令。 　　执行 sudo -u <用户名> <命令>, 将允许当前用户，提权到 <用户名> 的身份，再执行后面的 <命令>, 即使<命令> 原本需要 root 权限。提权到 <用户名> 身份时，是以 <用户名> 的身份来执行命令的，因此创建的文件默认属于 <用户名> 用户。 　　因此，当 userB 执行如下命令时:

```
sudo -u userA touch /tmp/belong-to-who.tmp

```

创建的 / tmp/belong-to-who.tmp 文件属于用户 userA。 　　如果不带 - u, 则默认使用 root 用户，而大多数时候 sudo 都是要提权到 root 的，所以 - u <用户名> 可以省略为:

需要注意的是: 执行 sudo 时输入的密码是当前用户的密码, 并非 <用户名> 的密码。

```
sudo -u <用户名>和su - <用户名>相比：
sudo -u <用户名>：需要输入当前用户的密码，提权到<用户名>身份执行命令后返回当前用户;
su - <用户名>：则是输入目标用户的密码，切换到目标用户。

```

将当前用户切换到超级用户下，或切换到指定的用户下，然后以超级用户或其指定切换到的用户身份执行命令，执行完成后，直接退回到当前用户。 　　具体工作过程如下：

```
　　当用户执行sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo的权限 
　　–>确认用户具有可执行sudo的权限后，让用户输入用户自己的密码确认 
　　–>若密码输入成功，则开始执行sudo后续的命令

```

通过 useradd 添加的用户，并不具备 sudo 权限。在 ubuntu/centos 等系统下, 需要将用户加入 admin 组或者 wheel 组或者 sudo 组。以 root 用户身份执行如下命令, 将用户加入 wheel/admin/sudo 组:

```
usermod -a -G wheel <用户名>

```

如果提示 wheel 组不存在, 则还需要先创建该组:

sudo 的权限控制可以在 / etc/sudoers 文件中查看到。一般来说，通过 cat /etc/sudoers 指令来查看该文件, 会看到如下几行代码:

```
root ALL=(ALL:ALL) ALL
%wheel ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL

```

对 / etc/sudoers 文件进行编辑的代码公式可以概括为:

```
授权用户/组 主机=[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,...

```

凡是 [ ] 中的内容, 都能省略; 命令和命令之间用, 号分隔，为了方便说明, 将公式的各个部分称呼为字段 1 - 字段 5:

```
授权用户/组 主机 =[(切换到哪些用户或组)] [是否需要输入密码验证] 命令1,命令2,...
字段1 字段2 =[(字段3)] [字段4] 字段5
字段3、字段4，是可以省略的。

```

在上面的默认例子中：

” 字段 1” 不以 % 号开头的表示” 将要授权的用户”, 比如例子中的 root；以 % 号开头的表示” 将要授权的组”, 比如例子中的 %wheel 组 和 %sudo 组。 　　” 字段 2” 表示允许登录的主机, ALL 表示所有; 如果该字段不为 ALL, 表示授权用户只能在某些机器上登录本服务器来执行 sudo 命令. 比如:

```
jack mycomputer=/usr/sbin/reboot,/usr/sbin/shutdown

```

表示: 普通用户 jack 在主机 (或主机组)mycomputer 上, 可以通过 sudo 执行 reboot 和 shutdown 两个命令。” 字段 3”和”字段 4”省略。 　　”字段 3”如果省略, 相当于 (root:root)，表示可以通过 sudo 提权到 root; 如果为(ALL) 或者 (ALL:ALL), 表示能够提权到(任意用户: 任意用户组)。请注意，” 字段 3”如果没省略, 必须使用 ( ) 双括号包含起来。这样才能区分是省略了”字段 3”还是省略了”字段 4”。 　　”字段 4”的可能取值是 NOPASSWD:。请注意 NOPASSWD 后面带有冒号:。表示执行 sudo 时可以不需要输入密码。比如:

```
lucy ALL=(ALL) NOPASSWD: /bin/useradd

```

表示: 普通用户 lucy 可以在任何主机上, 通过 sudo 执行 / bin/useradd 命令, 并且不需要输入密码. 　　又比如:

```
peter ALL=(ALL) NOPASSWD: ALL

```

表示: 普通用户 peter 可以在任何主机上, 通过 sudo 执行任何命令, 并且不需要输入密码。 　　” 字段 5” 是使用逗号分开一系列命令, 这些命令就是授权给用户的操作; ALL 表示允许所有操作。 　　命令都是使用绝对路径, 这是为了避免目录下有同名命令被执行，从而造成安全隐患。如果你将授权写成如下安全性欠妥的格式:

```
lucy ALL=(ALL) chown,chmod,useradd

```

那么用户就有可能创建一个他自己的程序, 也命名为 userad, 然后放在它的本地路径中, 如此一来他就能够使用 root 来执行这个” 名为 useradd 的程序”。这是相当危险的! 命令的绝对路径可通过 which 指令查看到: 比如 which useradd 可以查看到命令 useradd 的绝对路径: /usr/sbin/useradd

在实践中, 去编辑 / etc/sudoers 文件，系统提示我没权限啊，怎么办? 这是因为 / etc/sudoers 的内容如此敏感，以至于该文件是只读的。所以，编辑该文件前，请确认清楚你知道自己正在做什么。 　　强烈建议通过 visudo 命令来修改该文件，通过 visudo 修改，如果配置出错，会有提示。 　　不过，系统文档推荐的做法，不是直接修改 / etc/sudoers 文件，而是将修改写在 / etc/sudoers.d / 目录下的文件中。如果使用这种方式修改 sudoers，需要在 / etc/sudoers 文件的最后行，加上 #includedir /etc/sudoers.d 一行 (默认已有):

```
#includedir /etc/sudoers.d

```

注意了，这里的指令 #includedir 是一个整体, 前面的 #号不能丢，并非注释，也不能在 #号后有空格。任何在 / etc/sudoers.d / 目录下，不以~ 号结尾的文件和不包含. 号的文件，都会被解析成 / etc/sudoers 的内容。 　　文档中是这么说的:

```
# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in ‘~‘ or contain a ‘.‘ character.

# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.

# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade.

# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.

```

```
papi ALL=(root) NOPASSWD: /bin/chown,/usr/sbin/useradd

```

表示: 用户 papi 能在所有可能出现的主机上, 提权到 root 下执行 / bin/chown, 不必输入密码; 但运行 / usr/sbin/useradd 命令时需要密码. 　　这是因为 NOPASSWD: 只影响了其后的第一个命令: 命令 1。上面给出的公式只是简化版，完整的公式如下:

授权用户 / 组 主机 =[(切换到哪些用户或组)] [是否需要输入密码验证] 命令 1, [(字段 3)] [字段 4] 命令 2, …

在具有 sudo 操作的用户下, 执行 sudo -l 可以查看到该用户被允许和被禁止运行的命令.

```
papi ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk

```

命令前面加上! 号表示取消该命令。该例子的意思是: 用户 papi 在所有可能出现的主机上, 能够运行目录 / usr/sbin 和 / sbin 下所有的程序, 但 fdisk 除外。

当使用 sudo 后输入密码，并不会显示任何东西 —— 甚至连常规的星号都没有。有个办法可以解决该问题。打开 / etc/sudoers 文件找到下述一行:

修改成:

```
Defaults env_reset,pwfeedback

```

如果你经常使用 sudo 命令，你肯定注意到过当你成功输入一次密码后，可以不用再输入密码就可以运行几次 sudo 命令。但是一段时间后，sudo 命令会再次要求你输入密码。默认是 15 分钟，该时间可以调整。添加 timestamp_timeout = 分钟数即可。时间以分钟为单位，-1 表示永不过期，但强烈不推荐。 比如我希望将时间延长到 1 小时，还是打开 / etc/sudoers 文件找到下述一行:

修改成:

```
Defaults env_reset,pwfeedback,timestamp_timeout=60

```

针对 MySQL 数据库的设置，让 test 组中的 test 用户具备 / etc/init.d/mysqld 的权限：

```
[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test

[root@test ~]# visudo
# test ALL=(ALL) NOPASSWD: /etc/init.d/mysqld
test ALL=(ALL) /etc/init.d/mysqld

#start mysql 
[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld start

#stop mysql
[root@test ~]# su test
[test@test ~]$ sudo /etc/init.d/mysqld stop

```

针对 tomcat 的设置，让 test 组中的 test 用户具备 tomcat 操作的权限：

```
[root@test ~]# groupadd test
[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test
[root@test ~]# passwd test

[root@test ~]# visudo
# test ALL=(ALL) /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
test ALL=(ALL) NOPASSWD: /usr/local/tomcat/bin/shutdown.sh,/usr/local/tomcat/bin/startup.sh
[root@test ~]# vim /usr/local/tomcat/bin/catalina.sh

### JDK 
export JAVA_HOME=/usr/local/jdk
export JRE_HOME=$JAVA_HOME/jre

#start tomcat 
[root@test ~]# su test 
[test@test ~]$ sudo /usr/local/tomcat/bin/startup.sh
[test@test ~]$ ss -ntlup | grep Java
[test@test ~]$ curl -I http://localhost:8080

#stop tomcat 
[root@test ~]# su test 
[test@test ~]$ sudo /usr/local/tomcat/bin/shutdown.sh

```

```
[root@test ~]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##该文件允许特定用户像root用户一样使用各种各样的命令，而不需要root用户的密码 
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在文件的底部提供了很多相关命令的示例以供选择，这些示例都可以被特定用户或  
## ## 用户组所使用  
## This file must be edited with the ‘visudo‘ command.
## 该文件必须使用"visudo"命令编辑
## Host Aliases
#主机别名
## Groups of machines. You may prefer to use hostnames (perhap using 
## wildcards for entire domains) or IP addresses instead.
## 对于一组服务器，你可能会更喜欢使用主机名（可能是全域名的通配符）
## 或IP地址代替，这时可以配置主机别名

# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2
## User Aliases
#用户别名
## These aren‘t often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
## 这并不很常用，因为你可以通过使用组来代替一组用户的别名  
# User_Alias ADMINS = jsmith, mikem

## Command Aliases
## These are groups of related commands...
## 指定一系列相互关联的命令（当然可以是一个）的别名，通过赋予该别名sudo权限，  
## 可以通过sudo调用所有别名包含的命令，下面是一些示例

## Networking
#网络操作相关命令别名  
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
 /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, 
 /sbin/mii-tool
## Installation and management of software
#软件安装管理相关命令别名  
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services
#服务相关命令别名 
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database
#本地数据库升级命令别名  
Cmnd_Alias LOCATE = /usr/sbin/updatedb
## Storage
#磁盘操作相关命令别名
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
## Delegating permissions
#代理权限相关命令别名 
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes
#进程相关命令别名
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers
#驱动命令别名
Cmnd_Alias DRIVERS = /sbin/modprobe
#环境变量的相关配置
# Defaults specification
#
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear. 
#         You have to run "ssh -t hostname sudo <cmd>".
#
Defaults    requiretty
Defaults    env_reset
Defaults    env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR                         LS_COLORS MAIL PS1 PS2 QTDIR USERNAME                         LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION                         LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC                         LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS                         _XKB_CHARSET XAUTHORITY"
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是规则配置：什么用户在哪台服务器上可以执行哪些命令（sudoers文件可以在多个系统上共享）
## Syntax:
##语法
##      user    MACHINE=COMMANDS
##  用户 登录的主机=（可以变换的身份） 可以执行的命令  
##
## The COMMANDS section may have other options added to it.
## 命令部分可以附带一些其它的选项  
##
## Allow root to run any commands anywhere 
## 允许root用户执行任意路径下的任意命令 
root    ALL=(ALL)       ALL
## Allows members of the ‘sys‘ group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## 允许sys中户组中的用户使用NETWORKING等所有别名中配置的命令

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
## 允许wheel用户组中的用户执行所有命令  
## Same thing without a password
## 允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令
# %wheel        ALL=(ALL)       NOPASSWD: ALL
## Allows members of the users group to mount and unmount the
## cdrom as root
## 允许users用户组中的用户像root用户一样使用mount、unmount、chrom命令 
# %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users  localhost=/sbin/shutdown -h now
## 允许users用户组中的用户像root用户一样使用shutdown命令

```

[参考](https://www.cnblogs.com/jing99/p/9323080.html)

* * *