visudo用法,如何退出visudo

從上面的說明我們可以知道,除了 root 之外的其他帳號,若想要使用 sudo 執行屬於 root 的權限指令,則 root 需要先使用 visudo 去修改 /etc/sudoers ,讓該帳號能夠使用全部或部分的 root 指令功能。為什麼要使用 visudo 呢?這是因為 /etc/sudoers 是有設定語法的,如果設定錯誤那會造成無法使用 sudo 指令的不良後果。因此才會使用 visudo 去修改, 並在結束離開修改畫面時,系統會去檢驗 /etc/sudoers 的語法就是了。

一般來說,visudo 的設定方式有幾種簡單的方法喔,底下我們以幾個簡單的例子來分別說明:

I. 單一使用者可進行 root 所有指令,與 sudoers 檔案語法:

假如我們要讓 vbird1 這個帳號可以使用 root 的任何指令,基本上有兩種作法,第一種是直接透過修改 /etc/sudoers ,方法如下:

[root@study ~]# visudo….(前面省略)….

root ALL=(ALL) ALL <==找到這一行,大約在 98 行左右vbird1 ALL=(ALL) ALL <==這一行是你要新增的!….(底下省略)….

有趣吧!其實 visudo 只是利用 vi 將 /etc/sudoers 檔案呼叫出來進行修改而已,所以這個檔案就是 /etc/sudoers 啦! 這個檔案的設定其實很簡單,如上面所示,如果你找到 98 行 (有 root 設定的那行) 左右,看到的資料就是:

使用者帳號 登入者的來源主機名稱=(可切換的身份) 可下達的指令

root ALL=(ALL) ALL <==這是預設值

上面這一行的四個元件意義是:

『使用者帳號』:系統的哪個帳號可以使用 sudo 這個指令的意思;

『登入者的來源主機名稱』:當這個帳號由哪部主機連線到本 Linux 主機,意思是這個帳號可能是由哪一部網路主機連線過來的, 這個設定值可以指定用戶端電腦(信任的來源的意思)。預設值 root 可來自任何一部網路主機

『(可切換的身份)』:這個帳號可以切換成什麼身份來下達後續的指令,預設 root 可以切換成任何人;

『可下達的指令』:可用該身份下達什麼指令?這個指令請務必使用絕對路徑撰寫。 預設 root 可以切換任何身份且進行任何指令之意。

那個 ALL 是特殊的關鍵字,代表任何身份、主機或指令的意思。所以,我想讓 vbird1 可以進行任何身份的任何指令, 就如同上表特殊字體寫的那樣,其實就是複製上述預設值那一行,再將 root 改成 vbird1 即可啊! 此時『vbird1 不論來自哪部主機登入,他可以變換身份成為任何人,且可以進行系統上面的任何指令』之意。 修改完請儲存後離開 vi,並以 vbird1 登入系統後,進行如下的測試看看:

[vbird1@study ~]$ tail -n 1 /etc/shadow <==注意!身份是 vbird1

tail: cannot open `/etc/shadow’ for reading: Permission denied

# 因為不是 root 嘛!所以當然不能查詢 /etc/shadow

 

[vbird1@study ~]$ sudo tail -n 1 /etc/shadow <==透過 sudo

 

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

 

#1) Respect the privacy of others. <==這裡僅是一些說明與警示項目

#2) Think before you type.

#3) With great power comes great responsibility.

 

[sudo] password for vbird1: <==注意啊!這裡輸入的是『 vbird1 自己的密碼 』

pro3:$6$DMilzaKr$OeHeTDQPHzDOz/u5Cyhq1Q1dy…:16636:0:99999:7:::

# 看!vbird1 竟然可以查詢 shadow !

注意到了吧!vbird1 輸入自己的密碼就能夠執行 root 的指令!所以,系統管理員當然要瞭解 vbird1 這個用戶的『操守』才行!否則隨便設定一個使用者,他惡搞系統怎辦?另外,一個一個設定太麻煩了, 能不能使用群組的方式來設定呢?參考底下的第二種方式吧。

II. 利用 wheel 群組以及免密碼的功能處理 visudo

我們在本章前面曾經建立過 pro1, pro2, pro3 ,這三個用戶能否透過群組的功能讓這三個人可以管理系統? 可以的,而且很簡單!同樣我們使用實際案例來說明:

[root@study ~]# visudo <==同樣的,請使用 root 先設定….(前面省略)….%wheel ALL=(ALL) ALL <==大約在 106 行左右,請將這行的 # 拿掉!# 在最左邊加上 % ,代表後面接的是一個『群組』之意!改完請儲存後離開

 

[root@study ~]# usermod -a -G wheel pro1 <==將 pro1 加入 wheel 的支援

上面的設定值會造成『任何加入 wheel 這個群組的使用者,就能夠使用 sudo 切換任何身份來操作任何指令』的意思。 你當然可以將 wheel 換成你自己想要的群組名。接下來,請分別切換身份成為 pro1 及 pro2 試看看 sudo 的運作。

[pro1@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是 pro1….(前面省略)….

[sudo] password for pro1: <==輸入 pro1 的密碼喔!

pro3:$6$DMilzaKr$OeHeTDQPHzDOz/u5Cyhq1Q1dy…:16636:0:99999:7:::

 

[pro2@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是 pro2

[sudo] password for pro2: <==輸入 pro2 的密碼喔!

pro2 is not in the sudoers file. This incident will be reported.

# 仔細看錯誤訊息他是說這個 pro2 不在 /etc/sudoers 的設定中!

這樣理解群組了吧?如果你想要讓 pro3 也支援這個 sudo 的話,不需要重新使用 visudo ,只要利用 usermod 去修改 pro3 的群組支援,讓 pro3 用戶加入 wheel 群組當中,那他就能夠進行 sudo 囉! 好了!那麼現在你知道為啥在安裝時建立的用戶,就是那個 dmstai 預設可以使用 sudo 了嗎?請使用『 id dmtsai 』看看, 這個用戶是否有加入 wheel 群組呢?嘿嘿!瞭解乎?

Tips從 CentOS 7 開始,在 sudoers 檔案中,預設已經開放 %wheel 那一行囉!以前的 CentOS 舊版本都是沒有啟用的呢!

簡單吧!不過,既然我們都信任這些 sudo 的用戶了,能否提供『不需要密碼即可使用 sudo 』呢? 就透過如下的方式:

[root@study ~]# visudo <==同樣的,請使用 root 先設定….(前面省略)….%wheel ALL=(ALL) NOPASSWD: ALL <==大約在 109 行左右,請將 # 拿掉!# 在最左邊加上 % ,代表後面接的是一個『群組』之意!改完請儲存後離開

重點是那個 NOPASSWD 啦!該關鍵字是免除密碼輸入的意思喔!

III. 有限制的指令操作:

上面兩點都會讓使用者能夠利用 root 的身份進行任何事情!這樣總是不太好~如果我想要讓使用者僅能夠進行部分系統任務, 比方說,系統上面的 myuser1 僅能夠幫 root 修改其他使用者的密碼時,亦即『當使用者僅能使用 passwd 這個指令幫忙 root 修改其他用戶的密碼』時,你該如何撰寫呢?可以這樣做:

[root@study ~]# visudo <==注意是 root 身份myuser1 ALL=(root) /usr/迷你的画板/passwd <==最後指令務必用絕對路徑

上面的設定值指的是『myuser1 可以切換成為 root 使用 passwd 這個指令』的意思。其中要注意的是: 指令欄位必須要填寫絕對路徑才行!否則 visudo 會出現語法錯誤的狀況發生! 此外,上面的設定是有問題的!我們使用底下的指令操作來讓您瞭解:

[myuser1@study ~]$ sudo passwd myuser3 <==注意,身份是 myuser1

[sudo] password for myuser1: <==輸入 myuser1 的密碼

Changing password for user myuser3. <==底下改的是 myuser3 的密碼喔!這樣是正確的

New password:

Retype new password:

passwd: all authentication tokens updated successfully.

 

[myuser1@study ~]$ sudo passwd

Changing password for user root. <==見鬼!怎麼會去改 root 的密碼?

恐怖啊!我們竟然讓 root 的密碼被 myuser1 給改變了!下次 root 回來竟無法登入系統…欲哭無淚~怎辦? 所以我們必須要限制使用者的指令參數!修改的方法為將上述的那行改一改先:

[root@study ~]# visudo <==注意是 root 身份myuser1 ALL=(root) !/usr/迷你的画板/passwd, /usr/迷你的画板/passwd [A-Za-z]*, !/usr/迷你的画板/passwd root

在設定值中加上驚嘆號『 ! 』代表『不可執行』的意思。因此上面這一行會變成:可以執行『 passwd 任意字元』,但是『 passwd 』與『 passwd root 』這兩個指令例外! 如此一來 myuser1 就無法改變 root 的密碼了!這樣這位使用者可以具有 root 的能力幫助你修改其他用戶的密碼, 而且也不能隨意改變 root 的密碼!很有用處的!

IV. 透過別名建置 visudo:

如上述第三點,如果我有 15 個用戶需要加入剛剛的管理員行列,那麼我是否要將上述那長長的設定寫入 15 行啊? 而且如果想要修改命令或者是新增命令時,那我每行都需要重新設定,很麻煩ㄟ!有沒有更簡單的方式? 是有的!透過別名即可!我們 visudo 的別名可以是『指令別名、帳號別名、主機別名』等。不過這裡我們僅介紹帳號別名, 其他的設定值有興趣的話,可以自行玩玩!

假設我的 pro1, pro2, pro3 與 myuser1, myuser2 要加入上述的密碼管理員的 sudo 列表中, 那我可以創立一個帳號別名稱為 ADMPW 的名稱,然後將這個名稱處理一下即可。處理的方式如下:

[root@study ~]# visudo <==注意是 root 身份User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2

Cmnd_Alias ADMPWCOM = !/usr/迷你的画板/passwd, /usr/迷你的画板/passwd [A-Za-z]*, !/usr/迷你的画板/passwd root

ADMPW ALL=(root) ADMPWCOM

我透過 User_Alias 建立出一個新帳號,這個帳號名稱一定要使用大寫字元來處理,包括 Cmnd_Alias(命令別名)、Host_Alias(來源主機名稱別名) 都需要使用大寫字元的!這個 ADMPW 代表後面接的那些實際帳號。 而該帳號能夠進行的指令就如同 ADMPWCOM 後面所指定的那樣!上表最後一行則寫入這兩個別名 (帳號與指令別名), 未來要修改時,我只要修改 User_Alias 以及 Cmnd_Alias 這兩行即可!設定方面會比較簡單有彈性喔!

V. sudo 的時間間隔問題:

或許您已經發現了,那就是,如果我使用同一個帳號在短時間內重複操作 sudo 來運作指令的話, 在第二次執行 sudo 時,並不需要輸入自己的密碼!sudo 還是會正確的運作喔!為什麼呢? 第一次執行 sudo 需要輸入密碼,是擔心由於使用者暫時離開座位,但有人跑來你的座位使用你的帳號操作系統之故。 所以需要你輸入一次密碼重新確認一次身份。

兩次執行 sudo 的間隔在五分鐘內,那麼再次執行 sudo 時就不需要再次輸入密碼了, 這是因為系統相信你在五分鐘內不會離開你的作業,所以執行 sudo 的是同一個人!呼呼!真是很人性化的設計啊~ ^_^。不過如果兩次 sudo 操作的間隔超過 5 分鐘,那就得要重新輸入一次你的密碼了 (註4)

VI. sudo 搭配 su 的使用方式:

很多時候我們需要大量執行很多 root 的工作,所以一直使用 sudo 覺得很煩ㄟ!那有沒有辦法使用 sudo 搭配 su , 一口氣將身份轉為 root ,而且還用使用者自己的密碼來變成 root 呢?是有的!而且方法簡單的會讓你想笑! 我們建立一個 ADMINS 帳號別名,然後這樣做:

[root@study ~]# visudoUser_Alias ADMINS = pro1, pro2, pro3, myuser1

ADMINS ALL=(root) /迷你的画板/su –

接下來,上述的 pro1, pro2, pro3, myuser1 這四個人,只要輸入『 sudo su – 』並且輸入『自己的密碼』後, 立刻變成 root 的身份!不但 root 密碼不會外流,使用者的管理也變的非常方便! 這也是實務上面多人共管一部主機時常常使用的技巧呢!這樣管理確實方便,不過還是要強調一下大前提, 那就是『這些你加入的使用者,全部都是你能夠信任的用戶』

 

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注