1.概念
管理员提前为用户设置执行权限许可;
被授权用户有权执行授权命令;
配置文件:/etc/sudoers;
命令格式:sudo 特权命令。
2.提权操作
①方式一vim编辑配置文件后wq!:#vim /etc/sudoers
②方式二使用命令:#visudo
第一题:为lisi用户授予相关脚本的执行权限,允许通过systemctl工具来管理系统服务。
操作过程:
①编辑配置文件
②切换lisi用户验证sudo权限
[root@master ~]# su - lisi
[lisi@master ~]$ sudo -l
用户 lisi 可以在 master 上运行以下命令:
(root) /bin/systemctl
③通过sudo启动服务
[lisi@master ~]$ sudo systemctl start httpd
[lisi@master ~]$ sudo systemctl status httpd
[lisi@master ~]$ sudo systemctl stop httpd
第二题:为lisi用户添加sudo权限,允许lisi用户可以创键用户,修改用户密码。
操作过程:
①编辑配置文件
[root@master ~]# visudo
lisi ALL=(root) /bin/systemctl,/sbin/useradd,/bin/passwd,!/bin/passwd root
(解释:! 取反)
②切换lisi用户验证sudo权限
[lisi@master ~]$ sudo useradd haha
[lisi@master ~]$ id haha
③修改haha用户密码
[lisi@master ~]$ sudo passwd haha
第三题:为sudo机制启用日志记录,以便跟踪sudo执行操作。
①编辑配置文件
[root@master ~]# visudo
Defaults logfile="/var/log/sudo.log" #手动添加这一条
②普通用户执行sudo命令
[lisi@master ~]$ sudo systemctl start httpd
③查看日志是否记录
[root@master ~]# cat /var/log/sudo.log
Sep 24 12:57:09 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ;
COMMAND=/bin/systemctl start httpd
