centos6.7的sudo配置 centos6.7的sudo配置su全称，switch user，su可以切换用户，su的切换分为两种，登录式切换和非登录式切换，读取的配置文件也有所不同！一般情况下，su是切换用户，但是一般情况下我们使用的是普通用户，如果管理登录是相当危险的，但是我们又需要root权限，又不能固定持久切换，sudo则可以以普通用户自己的身份，在执行的时候，可临时切换管理员管理身份执行命令，命令结束退回普通用户！sudo功用如下：1，授权指定用户在指定主机上运行指定的管理命令2，详细记录用户基于sudo执行的命令相关日志信息，相当于审计3，用户第一次执行sudo，输入密码，验证成功后，用户会获得一个有固定存活时长的令牌，再次执行则无需输入密码，有时效性，相当于检票系统sudo借助于/etc/sudoers定义哪些用户可以执行管理类操作！<----授权文件（只有管理员才可以编辑）visudo可以编辑并且检查语法，但是vim是可以语法着色，如何操作可随感觉走在这个文件中文件定义如下：/etc/sudoers:别名定义：#当一条命令被频繁调用，不同用户组调用，则使用别名来定义User_Aliads:用户别名User_Alias NAME = item...item:用户名，%组名，#UID,$#GID，User_AliasHost_Aliads：主机别名Host_Alias Name = item ...item:hostname ,ip,network,HostAliasRunas_Alias：以谁的身份运行Runas_Alias,和User_Alias区别不大！ALL：所有用户Runas_Alias NAME = items,items....Cmnd_Alias：命令别名Comd_Alias NAME = items...item:命令，目录（目录下所有命令） ，“sudoedit” （sudo编辑文件）Cmmd_Alias注意：别名必须使用全大写字符！sudo授权：#定义格式，用户->主机->命令一，别名定义如：让mark用户，运行useradd命令！<p> 1,编译文件</p><p> </p>sudo选项：-l :查看当前用户可执行命令<p> 如下：</p><p> </p>-u USERNAME COMMAND：以指定用户身份来执行命令-k：清楚令牌，清楚5分钟内的令牌-b COMMAND：在后台运行指定的COMMAND-e /path/to/somefile：修改指定的文件如果有多个用户都需要一样的授权！则先定义别名：二，用户别名创建一个用户，将用户添加至组中，而后在visodo中定义USERADMIN组，或ID号，或用户允许有创建用户权限#User_Alias 用户别名为USERADMIN = mark用户，%admin组，#500ID的用户有创建用户的权限USERADMIN ALL=(root) /usr/sbin/useradd我们切换到fedora查看下是否有/usr/sbin/useradd三，主机别名定义：用户来自192.168.233.1能够执行/usr/sbin/useradd /usr/sbin/userdel四，Cmnd别名五，其他###########################7如果不期望登录root账号，我们期望mark账号来执行管理员的任意命令，则可以修改如下;

文件的特殊权限 文件的特殊权限：安全上下文： 1、进程以某用户的身份运行；进程是发起此进程的用户代理，其以对应用户身份完成所需的操作； 2、权限匹配模型： (1) 进程的属主，是否是被访问的资源的属主；如果是，则应用属主权限； (2) 否则，查看进程的属主，是否属于被访问资源的属组；如果是，则应用属组权限； (3) 否则，则应用其它权限；特殊权限：suid 展示于文件属主的执行权限位： 如果属主本来有执行权限，则展示为s；否则，展示为S;功用：对于一个可执行文件来讲，任何用户运行此程序为进程时，进程的属主不再是发起者本人，而可执行程序文件自己的属主；管理文件SUID权限的方法： chmod u+|-s FILE... 演示过程：： 我在mark用户下cat/etc/shadow文件是没有权限的 [mark@localhost root]$ ls -l /bin/cat -rwxr-xr-x. 1 root root 48568 Oct 14 21:51 /bin/cat [mark@localhost root]$ cat /etc/shadow cat: /etc/shadow: Permission denied [mark@localhost root]$ 此时，我用root将/bin/cat cp到/tmp/cat，是可执行的 [root@localhost ~]# cp /bin/cat /tmp/cat [root@localhost ~]# /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7:: 然后，我在root用户下给/tmp/cat添加s权限位 [root@localhost ~]# chmod u+s /tmp/cat [root@localhost ~]# ll /tmp/cat -rwsr-xr-x. 1 root root 48568 Apr 10 03:07 /tmp/cat [root@localhost ~]#此时，我在用mark用户cat /etc/shadow文件 [mark@localhost root]$ /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7::: halt:*:15980:0:99999:7::: mail:*:15980:0:99999:7::: uucp:*:15980:0:99999:7::: operator:*:15980:0:99999:7:::此时，mark用户在使用cat命令是，已经不再是已mark的身份，而是root用户。 尽管如何，普通用户还是无法更改其他用户的权限的。如果文件原本有执行权限，则是小s,如果没有则是大s特殊权限：sgid 展示于文件属组的执行权限位； 如果属组本来有执行权限，则展示为s；否则，展示为S;功用：当目录属组有写权限，且有sgid权限时，那么所有属于此目录的属组，且以属组身份在此目录新建文件或目录时，新文件或目录的属组不是创建者所属的基本组，而是目录自己的属组；chmod g+|-s FILE...演示过程： 创建两个用户， [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# [gentoo1@localhost root]$ cd /var/tmp/ [gentoo1@localhost tmp]$ touch a.gentoo1 [gentoo1@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 [gentoo1@localhost tmp]$ ls [mageia@localhost root]$ cd /var/tmp/ [mageia@localhost tmp]$ touch a.mageia [mageia@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:21 a.mageia [mageia@localhost tmp]$ [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# mkdir /var/tmp/test [root@localhost ~]# chown :mark /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxr-xr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# chmod g+w /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxrwxr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# usermod -a -G mark mageia [root@localhost ~]# usermod -a -G mark gentoo1 [root@localhost ~]# id mageia uid=503(mageia) gid=503(mageia) groups=503(mageia),500(mark) [root@localhost ~]# id gentoo1 uid=501(gentoo) gid=501(gentoo1) groups=501(gentoo1),500(mark) [root@localhost ~]#退出再切换至mageia [mageia@localhost tmp]$ exit exit [root@localhost ~]# su mageia [mageia@localhost root]$ cd /var/tmp/ [[mageia@localhost test]$ touch a.gentoo [mageia@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo [mageia@localhost test]$ 63.22 退出再切换至gentoo1 [gentoo1@localhost test]$ exit exit [root@localhost ~]# su gentoo1 [gentoo1@localhost root]$ cd /var/tmp/test/ [gentoo1@localhost test]$ touch a.gentoo1 [gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:37 a.gentoo1 [gentoo1@localhost test]$当某一个用户已组上的权限来访问这个目录创建文件时，属主仍然是自身，而属组则是目录的属组 [root@localhost ~]# chmod g+s /var/tmp/test/ [root@localhost ~]# ll -ld /var/tmp/test/ drwxrwsr-x. 2 root mark 4096 Apr 10 03:42 /var/tmp/test/ [root@localhost ~]#退出再切换至mageia [mageia@localhost test]$ touch b.mageia [mageia@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [mageia@localhost test]$再切换至gentoo1 [gentoo1@localhost test]$ touch b.gentool [gentoo1@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 03:48 b.gentool -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [gentoo1@localhost test]$与此同时是两个用户都可以删除对方文件。 由此，我们希望这个用户可以创建文件，可以编辑文件，可以删除自己的文件，但不能删除别人的文件： 特殊权限：sticky 特殊权限：sticky 展示于目录其它用户的执行权限位； 如果其它用户本来有执行权限，则展示为t；否则，展示为T;功用： 对于全局可写，或某组全局可写目录，所有用户都于此目录创建文件或删除自己为属主的那些文件，但不能删除非自己为属主文件或目录；chmod o+|-t FILE...[root@localhost /]# chmod o+t /var/tmp/test/ [root@localhost /]# ll -ld /tmp/test/ drwxrwsr-t. 2 root mark 4096 Apr 10 08:00 /tmp/test/[gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mark 0 Apr 10 08:08 1.megeia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 07:59 2.gentoo1 [gentoo1@localhost test]$ rm 1.megeia rm: cannot remove `1.megeia': Operation not permitted [gentoo1@localhost test]$ rm 2.gentoo1 [gentoo1@localhost test]$ [mageia@localhost test]$ rm 2.gentoo1 rm: cannot remove `2.gentoo1': Operation not permitted [mageia@localhost test]$ rm 1.megeia [mageia@localhost test]$ sst八进制: 000 0 001 1 010 2 011 3 100 4 101 5 110 6 111 7chmod 6664 file chmod 1775 dirumask 0002