三九宝宝网宝宝百科宝宝知识

使用sudo来赋予普通用户root的权限

11月16日 编辑 39baobao.com

[怎么设置Excle的权限]2然后是选中sheet1表。3在弹出的代码框里面编辑代码,首先是设置该表的一个密码,这里设置的密码为123Application.InputBox(请输入操作权限密码:) = 1234如果用户的密码输入...+阅读

常规来说,root的权限是不可随意分割的,所以很难既给某个用户完成一件任务的权力,比如说备份,而又不给这个人自由运行系统的权力。如果把root给多个人去使用,显然是个不安全的做法。

针对这个问题,现在广泛的采用SUDO的方式来解决。

所谓的SUDO就是以普通用户的身份登录到系统,当需要完成某项任务时(假设此任务普通用户无权使用),在管理员root的授权下来完成。呵呵,对了,有点像WINDOWS中的委派。一旦用户得到授权后就可以去做原本自己不能做的事情,从而帮助管理员管理,减轻管理员的负担。

执行sudo时,它会读取文件/etc/soduers,这个文件列出了授权使用sudo的人以及他们在每台主机上可以运行的命令。如果提供给sudo的命令允许运行,那么sudo就提示输入这个用户自己的口令并执行命令。在随后的5分钟内,再次使用sudo则不需输入口令。sudo没有定义好的日志文件,所以如果你要使用sudo的日志,你还得自己去配置一下。至于怎么去配咱们以后讨论。

如果你要配置sudo,建议你使用visudo来配置/etc/sudoers文件,它会检查是否有人在同时编辑修改此文件。以下是一个例子:

&emsp&emsp Host Aliases

Host_Alias FILESERVERS = fs1, fs2

Host_Alias MAILSERVERS = smtp, smtp2

&emsp&emsp working

Cmnd_Alias WORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/, /sbin/iptables, /usr/bin/rfm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

&emsp&emsp Allow root to run any mands anywhere

root ALL=(ALL) ALL

tom,z3 FILESERVERS=ALL

jerry MAILSERVERS=/usr/sbin/tcpdump:FILESERVERS=(L4)DUMP

w5 ALL=(ALL)ALL,!SHELLS

上面第一部分是用来定义主机的,如果不定义那么你就得在第三部分手动写入。第二部分是用来定义服务的,如果不定义那么你就得在第三部分手动写入。

建议你使用这种别名的方式来定义你的“操作”,这样sudoers的可读性更强。

第三部分是关于权限的定义,也就是说谁可以用sudo干什么事情。其中格式如下:

适用的用户 要注意的主机=(转换成谁的身份)可以使用什么命令

如果没有定义括号中的内容,则表示只以root身份执行相应操作。!表示“除什么以外”。

当普通用户,例如tom,登录到系统要执行本来没有权限执行的操作时,他可以键入如下命令:

sudo su –

然后键入自己的密码就可以了。

Alias主要分成4种

Host_Alias

Cmnd_Alias

User_Alias

Runas_Alias

1) 配置Host_Alias:就是主机的列表

Host_Alias HOST_FLAG = hostname1, hostname2, hostname3

2) 配置Cmnd_Alias:就是允许执行的命令的列表

Cmnd_Alias MAND_FLAG = mand1, mand2, mand3

3) 配置User_Alias:就是具有sudo权限的用户的列表

User_Alias USER_FLAG = user1, user2, user3

4) 配置Runas_Alias:就是用户以什么身份执行(例如root,或者oracle)的列表

Runas_Alias RUNAS_FLAG = operator1, operator2, operator3

5) 配置权限

配置权限的格式如下:

USER_FLAG HOST_FLAG=(RUNAS_FLAG) MAND_FLAG

如果不需要密码验证的话,则按照这样的格式来配置

USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: MAND_FLAG

使用sudo的好处

1, 由于有日志可以提高安全审计的能力

2, 操作员不需要不受限制的root特权就能完成许多任务

3, 保证root密码的安全

4, 比使用su快

5, 不需要改变root密码就能收回某些权限

6, 只需维护sudoers就可维护所以用户的特权列表

7, 降低遗留root shell的概率

8, 可以使用单个文件来控制对整个网络的访问权限

当然也有不足,比如说如果突破了能执行sudo命令的个人账户,就等同突破了root账户本身。

以下为关联文档:

分享:windows操作系统账户权限设置详解随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃...

用Office2003IRM设定文档访问权限Office 2003中加入了IRM信息管理权限,它能够有效地保护Office文档的安全性,创建受保护的文档。IRM的权限分为只读、更改和完全控制三种。要想使用IRM功能首先要下载安装这个...

赋予代理权表达赋予代理权表达“赋予代理权”该怎么说?下面是一些常用表达,当你的公司要设立代理的时候,就可以用上了。1. We inform you that Mr. Thomas, who has held our procuration f...

文件服务器权限设计实用招数文件服务器是企业用得最多的应用服务器之一。因为文件服务器可以在一个统一的平台上对企业的重要文件进行备份、访问控制、权限管理等等,从而可以全方位的提高企业数据的安全...

MSSQL数据库SA权限分配反正入侵大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。1.存...

妙用Office2003IRM设定访问权限Office 2003中加入了IRM信息管理权限,它能够有效地保护Office文档的安全性,创建受保护的文档。IRM的权限分为只读、更改和完全控制三种。要想使用IRM功能首先要下载安装这个...

时代赋予我的天空小鸟有蓝天可以飞翔,小鱼有大海可以遨游,骏马有草原可以奔驰,而我呢?……我带着疑问迷迷糊糊地进入了梦乡,朦胧间我感觉仿佛有人在轻轻地敲着我。我揉了揉迷糊的眼睛,一位穿着长...

用Office2003IRM功能设定文档访问权限Office 2003中加入了IRM信息管理权限,它能够有效地保护Office文档的安全性,创建受保护的文档。IRM的权限分为只读、更改和完全控制三种。要想使用IRM功能首先要下载安装这个...

系统权限和局域网共享与安全说起Windows的局域网共享时,提到了IPC(Inter Process Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计...

推荐阅读
图文推荐