Linux sudo 命令知识点总结

基本概念

1. sudo (Super User DO)：允许授权用户以其他用户身份（通常是root）执行命令
2. 设计目的：减少直接使用root账户，提高系统安全性
3. 与su的区别：
   • su 需要知道目标用户的密码
   • sudo 需要当前用户的密码（或不需要密码，取决于配置）

基本用法

sudo [选项] 命令

常用选项： - -u 用户：以指定用户身份执行命令 - -l：列出当前用户可执行的命令 - -v：刷新sudo认证时间戳 - -k：清除认证时间戳 - -s：启动一个shell - -i：模拟root登录环境

配置文件

1. 主配置文件：/etc/sudoers
2. 推荐编辑方式：使用visudo命令（会检查语法）

3. 语法结构：

   用户 主机=(目标用户) [NOPASSWD:]命令
   

   示例：

   alice ALL=(ALL) ALL
   bob ALL=(ALL) NOPASSWD: /usr/bin/apt-get
   

配置详解

1. 用户/组：

   • 用户名：alice
   • 用户组：%wheel
   • 别名：User_Alias ADMINS = alice, bob

2. 主机：

   • 主机名：localhost
   • 别名：Host_Alias SERVERS = server1, server2

3. 命令：

   • 完整路径：/usr/bin/apt-get
   • 命令别名：Cmnd_Alias PKGMGMT = /usr/bin/apt-get, /usr/bin/dpkg

4. 运行身份：

   • (root)：以root身份运行
   • (ALL)：可以以任何用户身份运行

高级功能

1. 密码缓存：

   • 默认5分钟内不需要重复输入密码
   • 可通过timestamp_timeout修改

2. 日志记录：

   • 默认记录在/var/log/auth.log或/var/log/secure
   • 可通过syslog配置

3. 环境变量处理：

   • env_reset：重置环境变量
   • env_keep：保留指定环境变量

4. 限制sudo权限：

   • 可以限制用户只能执行特定命令
   • 可以限制命令参数

安全实践

1. 避免给用户ALL=(ALL) ALL权限
2. 使用命令路径而非通配符
3. 定期审查sudoers文件
4. 限制敏感命令的执行
5. 使用NOPASSWD要谨慎

常见问题排查

1. 权限被拒绝：

   • 检查/etc/sudoers配置
   • 检查用户是否在允许的组中

2. 命令找不到：

   • 使用完整路径
   • 检查secure_path设置

3. 环境变量问题：

   • 使用-E保留环境变量
   • 在sudoers中设置env_keep

4. 查看sudo权限：

   sudo -l
   

实际示例

1. 允许用户管理服务：

   %admin ALL=(ALL) /usr/bin/systemctl restart *, /usr/bin/systemctl status *
   

2. 允许用户管理特定目录：

   alice ALL=(ALL) /bin/chown alice:alice /var/www/*
   

3. 允许无密码执行特定命令：

   bob ALL=(ALL) NOPASSWD: /usr/bin/apt-get update
   

sudo是一个强大的工具，正确配置可以大大提高系统管理效率同时保持安全性。