sudo 来自sudo包 man 5 sudoers sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员 sudo可以提供日志,记录每个用户使用sudo操作 sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机 通过visudo命令编辑配置文件,具有语法检查功能 visudo –c 检查语法 例:授权给xad用户创建光盘的权限 1、vim /etc/sudoers(不安全) 【授权规则格式:用户 登入主机=(代表用户) 命令】 root ALL=(ALL) ALL 【大概在92行】 wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom (wang用户 在任何主机上 = 代表root 执行mount 把光盘sr0 挂载到cdrom , 执行umount 卸载cdrom) 2、visudo (=vi /etc/sudoers)(不安全) 有语法检索功能 vim /etc/profile.d/env.sh export EDITOR=vim 设置其默认用vim打开 *3、cd /etc/sudoers.d(安全) vim wang(权限440) wang ALL=(root) /usr/bin/mount /dev/sr0 /mnt/cdrom,/usr/bin/umount /mnt/cdrom 格式说明: user: 运行命令者的身份 host: 通过哪些主机 (runas):以哪个用户的身份 command: 运行哪些命令 别名: user_alias runas_alias host_alias Cmnd_Alias 客户端Client_list格式: 以逗号或空格分隔的客户端列表 基于IP地址:192.168.10.1 192.168.1. 基于主机名:www.magedu.com .magedu.com 较少用 基于网络/掩码:192.168.0.0/255.255.255.0 基于net/prefixlen: 192.168.1.0/24(CentOS7) 基于网络组(NIS 域):@mynetwork 内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID 拒绝其他主机通过sshd访问该主机(多种方式:in.telnetd,sshd): vim /etc/hosts.deny(拒绝文件) 或 /etc/hosts.allow(允许文件) (以allow优先) --> 在下面加sshd:n.n.n.n (centos7 --> n.n.n.n/m 或 n.n.n.n/m.m.m.m 或 n.n.等 ; cenots6 --> n.n.n.n/m.m.m.m) 拒绝所有访问本主机的IP: vim /etc/hosts.deny --> ALL@172.18.101.57(本机IP):ALL 双重否定、多重否定: sshd:172.18. EXCEPT 172.18.101. EXCEPT 172.18.101.57 拒绝172.18.x.x网段,允许172.18.101.x网段,拒绝172.18.101.57 *(注意本字段是写在allow允许中,还是写在deny拒绝中) 在有客户端访问时,执行命令: sshd:172.18.102.57:spawn echo date +%%F +%%T client: %c user: %u login on server:%s > /app/tcpwrapper.log