Linux 权限管理进阶:sudo 实战技巧详解
- 2026-03-12 01:54:15
Linux 权限管理进阶:sudo 实战技巧详解1 什么是
如果需要提供技术支持或添加交流群,加V详聊:lige_linux K8S命令详解汇总【自用珍藏版】| K8S集群部署 | K8S存储实战案例 | K8S证书续签十年 | K8S部署Prometheus | Rancher部署并接管K8S | Jenkins安装部署 | Gitlab安装部署 | 服务网格Istio安装及实战 | 搭建企业级Harbor仓库 | K8S对接Harbor仓库 | Docker常用命令汇总 | Docker无法下载镜像解决办法 | 安装Docker的三种方法 | Docker基础概念汇总 | Oralce19C RAC集群搭建 | Oracle集群管理命令汇总 | MySQL集群安装部署 | MySQL一键备份脚本 | MySQL集群目录迁移 | Redis三主三从集群部署 | 150个Linux常用命令 | 8个有趣的Linux命令 | 主流Linux操作系统各版本网卡配置方法汇总,建议收藏! | Firewalld防火墙详细讲解 | 构建内部Yum源 | 超全的磁盘扩容方法 | 服务器带外管理知识 安装完操作系统后建议做这些优化工作!
今天分享一下sudo权限管理
1 什么是 sudo?
sudo(superuser do)允许普通用户在不切换到 root 账户的前提下,以其他用户(默认是 root)的身份运行命令。相比直接使用 su,sudo 提供了更细粒度、更安全的权限控制。
2 sudo 的基本命令用法
sudo command# 以 root 权限执行命令sudo -u 命令 # 以指定用户身份执行命令sudo -i # 获取一个 root 登录 shellsudo -l # 查看当前用户被授权执行的命令列表3 sudo 权限配置
所有 sudo 的核心配置文件是 /etc/sudoers,但你不应该直接编辑它。推荐使用 visudo 来避免配置错误导致系统无法使用 sudo。
visudosudoers 文件的基本语法:
<用户> <主机>= (<可切换身份>) <命令列表>例如:
liyb ALL=(ALL) NOPASSWD: /usr/vibin/systemctl restart nginx含义是:用户 liyb 可以在所有主机上,以任意用户身份,无需输入密码,执行 /bin/systemctl restart nginx。
4 实战案例
4.1 限制用户只运行特定命令
liyb ALL=(ALL) /usr/bin/systemctl restart nginx效果:用户 bob 只能使用 sudo 重启 nginx,不能用它来执行其他命令。
4.2 多个用户共享相同权限
Cmnd_Alias RESTART_CMDS = /sbin/reboot, /usr/bin/systemctl restart nginxUser_Alias ADMINS = alice, liybADMINS ALL=(ALL) NOPASSWD: RESTART_CMDS用户组 ADMINS 成员可以无需密码执行 RESTART_CMDS 里的命令。
4.3 开发人员编辑特定配置文件
dev ALL=(ALL) NOPASSWD: /usr/bin/vi /etc/nginx/nginx.conf开发人员只能编辑 nginx 配置文件,而无法访问其他系统文件。
4.4 4将liyb设为root权限
liyb ALL=(ALL) ALL如果设置成这样,代表liyb用户可以执行任何权限,不过需要输入密码才能执行。
还有一种办法就是将liyb用户加入wheel组。
5 sudo 日志与审计
所有通过 sudo 执行的命令都会被记录,方便日后审计和追踪:
Ubuntu/Debian 系统: /var/log/auth.logCentOS/RHEL 系统: /var/log/secure
日志信息包含用户名、执行命令、终端信息、是否成功等关键信息:
6 安全建议与最佳实践
最小权限原则:只授权用户执行他们所需的最少命令 避免通配符(如 /bin/*):容易被滥用 谨慎使用 NOPASSWD:虽然方便,但可能成为安全隐患 定期审计授权规则:用户、命令需求可能会变化
往期精彩文章:
本文来自网友投稿或网络内容,如有侵犯您的权益请联系我们删除,联系邮箱:wyl860211@qq.com 。
