sudo权限配置
一般情况下,刚刚装好的系统,要么普通用户没有sudo权限,要么sudo权限太大,这对于电脑的安全来讲都有着相当大的威胁,所以怎么正确的去配置sudo权限,既能方便我们的工作,又能保证sudo权限不滥用呢?让我们一起来看sudo权限的配置问题。
如何打开sudo配置文件
有关sudo的配置文件放在/etc文件夹下面的/etc/sudoers里面,但是/etc/sudoers文件有一定的语法,如果设置错误的话会导致sudo命令无法使用的严重后果,所以我们要用专门的命令去修改它,那就是“visudo”命令,但是要先切换到root用户下,因为只有root用户才可以修改sudo配置文件。
输入visudo命令然后按回车键就能进入sudo的配置文件编辑了,根据发行版不同,有的是nano打开的,有的是vim.
如何添加sudo用户
在配置文件中找到root ALL=(ALL:ALL) ALL这一行,这一行分为三部分,从左到右依次为:用户账号,登录者的来源主机名=(可以切换的身份),可执行的命令,其中ALL是默认值,意思为所有的。
如果你要添加一个可以用sudo命令运行所有root命令的,只需要把root那一行复制到下一行,把用户名root改为你要放权的那个用户名ID,然后保存退出就好了。
限制sudo命令
如果按照上面的方法配置文件的话,那么这个用户就会有很多权力,甚至可以用sudo passwd root这样的命令直接修改掉root用户的密码,更不要提sudo rm -rf / 了,所以对用户进行权限限制非常重要。
关于如何限权,主要是在第三部分设置该用户能用sudo运行的命令或禁止运行的命令,比如我不让他运行sudo passwd root ,只需要把第三部分的ALL改为!/usr/bin/passwd root,也就是说,在命令路径前面加上”!“,就表示该命令是不允许该用户使用sudo运行的,切记命令一定要写绝对路径。
对用户组配置sudo
有时候会遇到需要对一个用户组配置一样的sudo权限的情况,那么这也可以在visudo里面配置,在文件中找到前面是百分号%的一行,前面加上百分号就表明是用户组,其他的设置同单个用户一样。
使用别名设置sudo权限
这种情况适用于有大量的用户需要配置,或者大量的限制命令需要配置的情况下,可以新建一个账户别名称为LALALA的名称:User_Alias LALALA = User1,User2,User3,User4,User5,新建一个命令别称CMDD:Cmnd_Alias CMDD=!/usr/bin/passwd root, /usr/bin/apt,然后将这个名称处理即可.
以上就是visudo的基本配置,配置好sudo权限,防止一些危险sudo命令的运行导致的不必要的麻烦。如有遗漏或错误,欢迎指出。
