Video在线视频

各位好

在本讲中

我们要讨论的是

如何在Linux中让渡根用户的部分权限

给其他普通用户

我们知道

Linux中的上帝只有也只能有一个

就是根用户root

作为掌握根用户的系统管理员

理论上最好也只有一个

但是 在很多情况下

如在多人共管主机

某些用户请求执行

某些需要根用户权限的命令

或者干脆就是你忙不过来的时候

你就得让其他人共享根用户权限了

将系统的根用户密码告诉很多人

显然不是一个好的选择

这样的事情往往成为灾难事件的开端

那么我们应该如何做呢

sudo命令给我们提供了一个

不需要根用户密码

也能执行根用户权限命令的途径

通过sudo命令

我们可以分配给普通用户

一些合理的“权利”

让他们执行一些

只有根用户

或者其他特定用户才能够完成的任务

比如

运行一些像reboot shutdown之类的命令

或者编辑一些系统配置文件

这样一来

就不仅减少了根用户的登陆次数和管理时间

也提高了系统的安全性

一开始系统默认仅有root可以执行sudo命令

我们需要通过修改/etc/sudoers文件

来让别的用户也能够执行sudo命令

注意这个文件也只有root用户可以修改

用vi/etc/sudoers打开/etc/sudoers文件

在没有改动的情况下

文件大约有100多行

在其中找到这行

其中第一字段代表了

可使用sudo命令的用户

这里是root

第二字段等号前面表示

登录用户的来源主机名

等号后面是可让渡权限的用户列表

第三字段是用户可使用的命令列表

我们这里这行就表示root 用户

可以在任意主机地址登录

并且以任意用户身份执行所有的命令

我们将在这行之后添加一行

nboocer ALL=(ALL) ALL

第三字段是也ALL

这就表示nboocer用户可以在任何地方登录

以任意用户身份执行任何命令

保存sudoers文件

退出vim

接下来我们试着用nboocer用户

通过sudo命令

以根用户身份

执行一个passwd命令来修改stu用户的密码

用户首次使用sudo命令时

系统会给出了一些非常有意思的警示信息

警示信息一是告诉大家

要“尊重他人隐私”

二是要告诉大家“输入之前三思”

三是告诉大家“能力越大 责任越大”

此时提供nboocer自身密码即可执行

这个原本只有根用户才有权执行的命令

再次提醒大会注意

我们输入的是nboocer自身的密码

并不是root密码

顺便提一下

用sudo命令以root 身份执行命令的时候

可以省略-u选项

命令是默认转换为root身份的

当然

我们前面这样做

就相当于给了nboocer用户等同于root的权限

除非我们完全信任nboocer

否则最好还是不要这么做

将刚刚这行删除

重新添加一行

将用户名改为stu

将第二个字段中的两个ALL

分别改为mooc和root

将第三个字段改为我们要让stu执行的命令名

这就表示stu用户从mooc主机登录

由于mooc事实上就是本主机名

也就是stu在本地登录时

可以用root用户身份

执行/sbin/shutdown 5这个命令

注意命令得以绝对路径的方式指定

接下来我们就尝试

以stu用户身份用sudo命令

以根用户的身份来执行

这个原本没有权限执行的shutdown命令

输入stu密码

OK 执行成功

如果我们用sudo执行别的命令

如我们打算用passwd命令修改nboocer的密码

sudo就会告诉我们

“对不起 用户stu无权以root的身份

在mooc.nbcc.cn上执行/usr/bin/passwd nboocers”

我们甚至可以免除

用户输入自己密码的步骤

在前面增加的一行中

添加如下关键字

这个关键字表示允许stu用户在本地登录主机时

可以以root用户身份

执行/sbin/shutdown 5这个命令

并且无需输入用户密码

接下来我们就来验证下

发现确实无需输入自己的密码

当然出于安全考虑

我们建议还是不要取消密码验证这步

我们也可以按用户组进行配置

如我们可以在sudoers文件中

添加这样一行

表示从属于group_p用户组的用户

在本地登录时

可以以root用户身份

执行/sbin/shutdown 5这个命令

接下来我们就来验证下

由于user_p用户从属于group_p组

输入user_p密码

OK

执行成功

确实和我们前面所预计的一样

好

至此 我们就基本了解了

如何使用sudo命令

来让渡部分root权限给普通用户的方法

谢谢您的观看

下次见