sudoers 文件

▶ 配置文件的专用命令 visudo

有关 sudo 命令的安全策略默认是在 /etc/sudoers 文件中，这是一个配置文件，该配置文件有个专用的配置文件命令 visudo，这是由于 sudo 的配置文件有一定的语法，使用传统的 vi 编辑器并不能进行对该配置文件的语法检查，使用 visudo 可以做到语法检查的功能。

直接使用 visudo 命令就可以打开 /etc/sudoer 文件了。

[root@server /]# visudo

▶ 配置文件 /etc/sudoers 的具体配置

sudoers 文件注释很多，下面两条是比较重要的。

[root@server /]# visudo

     99 ## Allow root to run any commands anywhere
    100 root    ALL=(ALL)       ALL
--snip--
    106 ## Allows people in group wheel to run all commands
    107 %wheel  ALL=(ALL)       ALL

root    ALL=(ALL)       ALL
用户名  被管理主机的地址=(可使用的身份)  授权命令(绝对路径)

%wheel  ALL=(ALL)       ALL
%组名   被管理主机的地址=(可使用的身份)  授权命令(绝对路径)

注意：这里写的越具体，授权就越安全。

可使用的身份：(ALL) 代表可以切换成任意身份。不写默认是 root 。

▷ 举例

授权 user1 用户可以添加新账号，和修改普通用户的密码。

赋予 user1 添加用户权限，命令必须写入绝对路径。

user1 ALL=/usr/sbin/useradd

赋予改密码权限，只是这样会有危险，必须取消对 root 用户密码修改。

user1 ALL=/usr/bin/passwd

user1 ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root

注意： 逗号必须要有空格。

普通用户查看自己能执行的sudo命令: sudo -l

普通用户执行自己能执行的sudo命令 sudo 后面跟上 sudoers 内的具体配置