如何在Linux中配置sudo访问权限

活腿肠

2019-04-19

关注关注

如何在Linux中配置sudo访问权限

Linux 系统中 root 用户拥有 Linux 中全部控制权力。Linux 系统中 root 是拥有***权力的用户，可以在系统中实施任意的行为。

如果其他用户想去实施一些行为，不能为所有人都提供 root 访问权限。因为如果他或她做了一些错误的操作，没有办法去纠正它。

为了解决这个问题，有什么方案吗？

我们可以把 sudo 权限发放给相应的用户来克服这种情况。

sudo 命令提供了一种机制，它可以在不用分享 root 用户的密码的前提下，为信任的用户提供系统的管理权限。

他们可以执行大部分的管理操作，但又不像 root 一样有全部的权限。

什么是 sudo？

sudo 是一个程序，普通用户可以使用它以超级用户或其他用户的身份执行命令，是由安全策略指定的。

sudo 用户的访问权限是由 /etc/sudoers 文件控制的。

sudo 用户有什么优点？

在 Linux 系统中，如果你不熟悉一个命令，sudo 是运行它的一个安全方式。

Linux 系统在 /var/log/secure 和 /var/log/auth.log 文件中保留日志，并且你可以验证 sudo 用户实施了哪些行为操作。
每一次它都为当前的操作提示输入密码。所以，你将会有时间去验证这个操作是不是你想要执行的。如果你发觉它是不正确的行为，你可以安全地退出而且没有执行此操作。

基于 RHEL 的系统（如 Redhat (RHEL)、 CentOS 和 Oracle Enterprise Linux (OEL)）和基于 Debian 的系统（如 Debian、Ubuntu 和 LinuxMint）在这点是不一样的。

我们将会教你如何在本文中提及的两种发行版中执行该操作。

这里有三种方法可以应用于两个发行版本。

增加用户到相应的组。基于 RHEL 的系统，我们需要添加用户到 wheel 组。基于 Debain 的系统，我们添加用户到 sudo 或 admin 组。
手动添加用户到 /etc/group 文件中。
用 visudo 命令添加用户到 /etc/sudoers 文件中。

如何在 RHEL/CentOS/OEL 系统中配置 sudo 访问权限？

在基于 RHEL 的系统中（如 Redhat (RHEL)、 CentOS 和 Oracle Enterprise Linux (OEL)），使用下面的三个方法就可以做到。

方法 1：在 Linux 中如何使用 wheel 组为普通用户授予超级用户访问权限？

wheel 是基于 RHEL 的系统中的一个特殊组，它提供额外的权限，可以授权用户像超级用户一样执行受到限制的命令。

注意，应该在 /etc/sudoers 文件中激活 wheel 组来获得该访问权限。

# grep -i wheel /etc/sudoers
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

假设我们已经创建了一个用户账号来执行这些操作。在此，我将会使用 daygeek 这个用户账号。

执行下面的命令，添加用户到 wheel 组。

# usermod -aG wheel daygeek

我们可以通过下面的命令来确定这一点。

# getent group wheel
wheel:x:10:daygeek

我将要检测用户 daygeek 是否可以访问属于 root 用户的文件。

$ tail -5 /var/log/secure
tail: cannot open /var/log/secure for reading: Permission denied

当我试图以普通用户身份访问 /var/log/secure 文件时出现错误。我将使用 sudo 访问同一个文件，让我们看看这个魔术。

$ sudo tail -5 /var/log/secure
[sudo] password for daygeek:
Mar 17 07:01:56 CentOS7 sudo: daygeek : TTY=pts/0 ; PWD=/home/daygeek ; USER=root ; COMMAND=/bin/tail -5 /var/log/secure
Mar 17 07:01:56 CentOS7 sudo: pam_unix(sudo:session): session opened for user root by daygeek(uid=0)
Mar 17 07:01:56 CentOS7 sudo: pam_unix(sudo:session): session closed for user root
Mar 17 07:05:10 CentOS7 sudo: daygeek : TTY=pts/0 ; PWD=/home/daygeek ; USER=root ; COMMAND=/bin/tail -5 /var/log/secure
Mar 17 07:05:10 CentOS7 sudo: pam_unix(sudo:session): session opened for user root by daygeek(uid=0)

方法 2：在 RHEL/CentOS/OEL 中如何使用 /etc/group 文件为普通用户授予超级用户访问权限？

我们可以通过编辑 /etc/group 文件来手动地添加用户到 wheel 组。

只需打开该文件，并在恰当的组后追加相应的用户就可完成这一点。

$ grep -i wheel /etc/group
wheel:x:10:daygeek,user1

在该例中，我将使用 user1 这个用户账号。

我将要通过在系统中重启 Apache httpd 服务来检查用户 user1 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart httpd
[sudo] password for user1:
$ sudo grep -i user1 /var/log/secure
[sudo] password for user1:
Mar 17 07:09:47 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/systemctl restart httpd
Mar 17 07:10:40 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/systemctl restart httpd
Mar 17 07:12:35 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/grep -i httpd /var/log/secure

方法 3：在 Linux 中如何使用 /etc/sudoers 文件为普通用户授予超级用户访问权限？

sudo 用户的访问权限是被 /etc/sudoers 文件控制的。因此，只需将用户添加到 sudoers 文件中的 wheel 组下即可。

只需通过 visudo 命令将期望的用户追加到 /etc/sudoers 文件中。

# grep -i user2 /etc/sudoers
user2 ALL=(ALL) ALL

在该例中，我将使用 user2 这个用户账号。

我将要通过在系统中重启 MariaDB 服务来检查用户 user2 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart mariadb
[sudo] password for user2:
$ sudo grep -i mariadb /var/log/secure
[sudo] password for user2:
Mar 17 07:23:10 CentOS7 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/systemctl restart mariadb
Mar 17 07:26:52 CentOS7 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/grep -i mariadb /var/log/secure

在 Debian/Ubuntu 系统中如何配置 sudo 访问权限？

在基于 Debian 的系统中（如 Debian、Ubuntu 和 LinuxMint），使用下面的三个方法就可以做到。

方法 1：在 Linux 中如何使用 sudo 或 admin 组为普通用户授予超级用户访问权限？

sudo 或 admin 是基于 Debian 的系统中的特殊组，它提供额外的权限，可以授权用户像超级用户一样执行受到限制的命令。

注意，应该在 /etc/sudoers 文件中激活 sudo 或 admin 组来获得该访问权限。

# grep -i 'sudo\|admin' /etc/sudoers
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

假设我们已经创建了一个用户账号来执行这些操作。在此，我将会使用 2gadmin 这个用户账号。

执行下面的命令，添加用户到 sudo 组。

# usermod -aG sudo 2gadmin

我们可以通过下面的命令来确定这一点。

# getent group sudo
sudo:x:27:2gadmin

我将要检测用户 2gadmin 是否可以访问属于 root 用户的文件。

$ less /var/log/auth.log
/var/log/auth.log: Permission denied

当我试图以普通用户身份访问 /var/log/auth.log 文件时出现错误。我将要使用 sudo 访问同一个文件，让我们看看这个魔术。

$ sudo tail -5 /var/log/auth.log
[sudo] password for 2gadmin:
Mar 17 20:39:47 Ubuntu18 sudo: 2gadmin : TTY=pts/0 ; PWD=/home/2gadmin ; USER=root ; COMMAND=/bin/bash
Mar 17 20:39:47 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by 2gadmin(uid=0)
Mar 17 20:40:23 Ubuntu18 sudo: pam_unix(sudo:session): session closed for user root
Mar 17 20:40:48 Ubuntu18 sudo: 2gadmin : TTY=pts/0 ; PWD=/home/2gadmin ; USER=root ; COMMAND=/usr/bin/tail -5 /var/log/auth.log
Mar 17 20:40:48 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by 2gadmin(uid=0)

或者，我们可以通过添加用户到 admin 组来执行相同的操作。

运行下面的命令，添加用户到 admin 组。

# usermod -aG admin user1

我们可以通过下面的命令来确定这一点。

# getent group admin
admin:x:1011:user1

让我们看看输出信息。

$ sudo tail -2 /var/log/auth.log
[sudo] password for user1:
Mar 17 20:53:36 Ubuntu18 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/usr/bin/tail -2 /var/log/auth.log
Mar 17 20:53:36 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by user1(uid=0)

方法 2：在 Debian/Ubuntu 中如何使用 /etc/group 文件为普通用户授予超级用户访问权限？

我们可以通过编辑 /etc/group 文件来手动地添加用户到 sudo 组或 admin 组。

只需打开该文件，并在恰当的组后追加相应的用户就可完成这一点。

$ grep -i sudo /etc/group
sudo:x:27:2gadmin,user2

在该例中，我将使用 user2 这个用户账号。

我将要通过在系统中重启 Apache httpd 服务来检查用户 user2 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart apache2
[sudo] password for user2:
$ sudo tail -f /var/log/auth.log
[sudo] password for user2:
Mar 17 21:01:04 Ubuntu18 systemd-logind[559]: New session 22 of user user2.
Mar 17 21:01:04 Ubuntu18 systemd: pam_unix(systemd-user:session): session opened for user user2 by (uid=0)
Mar 17 21:01:33 Ubuntu18 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/systemctl restart apache2

方法 3：在 Linux 中如何使用 /etc/sudoers 文件为普通用户授予超级用户访问权限？

sudo 用户的访问权限是被 /etc/sudoers 文件控制的。因此，只需将用户添加到 sudoers

   sudo  linux系统  系统配置

       
    活腿肠  
   0 关注   0 粉丝   0 动态  
 
    关注    关注   
 
  
    相关推荐 
      linux mint下安装phpstorm2020包括JDK部分的教程详解  
 
     环境：linux mint 20,一切都是最新的版本。都知道，PHPSTORM破解和运行都是离不开JDK/JRE的。接下来，放心大胆的去官网下载phpstorm。解压到你想要的地方。现在可以愉快的使用ps了。     
 
   lonesomer    2020-09-17  
 
      Docker CentOS 安装方法  
 
     绝大部分用户使用 设置 Docker 的仓库 ，然后从设置成功后的仓库进行安装。为了更加容易进行安装和升级任务，Docker 的官方推荐使用这种安装方式来进行安装。这种方法主要针对一些系统不具有联网环境，你需要下载后进行安装。在一些测试和部署环境中，一些用     
 
   changecan    2020-11-19  
 
      ubuntu安装mongodb创建账号和库及添加坐标索引的流程分析  
 
     ... roles: [ { role: "readWrite", db: "lbs" },　　4.3移除数据库和日志文件     
 
   sunnnyduan    2020-10-16  
 
      一篇让你快速熟悉ansible和使用  
 
     默认使用SSH协议进行管理主从集中化管理配置简单，扩展性强支持API及自定义模块，可通过python扩展通过playbooks剧本来定制强大的配置。ansible命令语法：ansible[-i:主机文件][-f：批次][组名][-m模块名称][-a：模块参     
 
   houdaiye    2020-09-23  
 
      Ubuntu Linux中如何启用root用户  
 
     你可能想知道如何以root用户登录Ubuntu，或者默认的root密码是什么。在Ubuntu Linux中，出于安全原因，默认情况下禁用了root用户。Sudo允许授权用户作为另一个用户运行程序。如果要将sudo访问权授予其他用户，只需将该用户添加到sud     
 
   XPZ0    2020-09-22  
 
      docker镜像制作  
 
     和自动化发布平台集成的时候启动shell价值就出来了。另外此处自定了dockerfile的路径和名称，稍微。做了通用化的考虑。稍微需要注意的是 -f最好是全路径。     
 
   changecan    2020-09-22  
 
      如何在Linux环境为用户添加sudo权限  
 
     sudo默认配置文件是**/etc/sudoers** ，一般使用Linux指定编辑工具visudo ，此工具的好处是可以进行错误检查。/etc/sudoers 文件中每行是一个规则，前面带有#号可以当作是注释的内容，并不执行；如果规则很长，可以写在多列上     
 
   jackadmi    2020-09-11  
 
      快来测试Python开发工具pipenv的新版本  
 
     pipenv是一个可帮助 Python 开发人员维护具有特定一组依赖关系的隔离虚拟环境，以实现可重新复制的开发和部署环境的工具。它类似于其他编程语言中的工具如 bundler、composer、npm、cargo、yarn 等。最近发布了新版本的 pipe     
 
   yuan00yu    2020-08-24  
 
      阿里云容器镜像加速  
 
     针对Docker客户端版本大于 1.10.0 的用户     
 
   丽丽    2020-08-17  
 
      nginx外网访问内网站点配置操作  
 
     静态资源请求API的地址由192.168.1.12:8080修改为域名访问方式。其他方案等博主验证完后放上来！！一台可以连接公网和内网的服务器A，公网IP地址：61.174.×.×，另一台内网服务器B上安装jenkins服务，内网的IP地址192.168.     
 
   yserver    2020-08-15  
 
      Docker手册  
 
     sudo apt-get remove docker docker-engine docker-ce docker-ce-cli docker.io. docker rm $    # remove删除所有容器。docker run -itd --name     
 
   liyansring    2020-08-15  
 
      如何在Linux中安装和使用资源监控工具Bashtop？  
 
     Bashtop是一款基于终端的Linux资源监控工具。它是一个漂亮的命令行工具，可以直观地显示CPU、内存、正在运行的进程和带宽等统计数据。有了Bashtop，你还可以对进程进行分类，以及在各种分类选项之间轻松切换。先决条件要成功安装Bashtop，请确保     
 
   liai    2020-08-09  
 
      Linux安装vscode  
 
     # If you‘re on an older Linux distribution, you will need to run this instead:. 打开之后完全没反应，虽然~/.config/Code正常生成了配置文件。     
 
   山有木兮卿有意    2020-08-03  
 
      ubuntu16安装ROS（包括win10子系统ubuntu同样能用）  
 
     Mac打开/etc/hosts，追加下面内容，使用sudo killall -HUP mDNSResponder刷新DNS缓存     
 
   85206633    2020-07-28  
 
      【 OS_Linux】centos与ubuntu的区别  
 
     CentOS是Linux发行版之一，它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Li     
 
   suosuo    2020-07-28  
 
      django虚拟环境中报E: 无法定位软件包 sqliteman  
 
     3，然后在末尾加入下方代码，然后保存。4，在终端运行：。5，接着便可以下载了：     
 
   hoooooolyhu    2020-07-28  
 
      在Fedora中安装PostgreSQL并配置密码和开启远程登陆  
 
     我写的内容其实也八九不离十，站在一个普通写CRUD的Demo的爱好者角度写怎么安装配置，减了防火墙的内容，加了改密码，保证看完跟着做能快速用上，不耽误时间。首先是安装PostgreSQL，我个人觉得没必要用PostgreSQL官网仓库安装版本，Fedora     
 
   83911930    2020-07-28  
 
      memcached 开机启动 (Ubuntu)  
 
     memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 2048 -P /tmp/memcached.pid     
 
   85590296    2020-07-22  
 
      ubuntu下快速安装rabbitmq  
 
     安装rabbitmqsudo apt-get updatesudo apt-get upgradesudo apt-get install rabbitmq-server. 当我们在创建用户时，会指定用户能访问一个虚拟机，并且该用户只能访问该虚拟机下的队列     
 
   liym    2020-07-20  
 
      在Fedora 32上运行Docker  
 
     随着 Fedora 32 的发布，Docker的普通用户面临着一个小挑战。虽然还有其他选择，例如Podman和Buildah，但是对于许多现有用户而言，现在切换可能不是最佳时机。因此，本文可以帮助你在 Fedora 32 上设置 Docker 环境。此步骤     
 
   CNxuwang    2020-07-20

        
    活腿肠  
    适合在任何地方使用的Linux：15个小型Linux发行版 
   Linux的文件系统的基本原理及常见类型 
   如何在Linux中配置sudo访问权限 
   chkservice：在Linux终端管理systemd单元的工具 
   Linux进程间通信(System V) --- 共享内存