# Define aliases for machines in CS & Physics departments. Host_Alias CS = tigger, anchor, piper, moer, sigi Host_Alias PHYSICS = eprince, pprince, icarus # Define collections of commands. Cmnd_Alias DUMP = /sbin/dump, /sbin/restore Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm Cmnd_Alias SHELLS = /bin/sh, /bin/tcsh, /bin/bash, /bin/ash, /bin/bsh # Permissions. mark,ed PHYSICS = ALL herb CS = /usr/sbin/tcpdump: PHYSICS = (operator)DUMP lynda ALL = (ALL)ALL, !SHELLS %wheel ALL, !PHYSICS = NOPASSWD: PRINTING
前5个非注释行定义了主机组和命令组的别名,以方便后面定义权限(Permissions部分)时使用。每一行权限说明包括的信息如下(sudo内建的命令 ALL 表示允许所有):
* 该行所适用的用户。
* 该行所适用的主机。
* 可以以其身份执行命令的用户(置于小括号中,缺省时就表示 root)。
* 指定用户可以运行的命令(最好写成绝对路径)。
第一行权限说明适用于 PHYSICS 组机器上的用户 mark 和 ed ,并且可以执行所有命令,不过只能以 root 身份执行。
第二行权限说明允许用户 herb 在 CS 组机器上以 root 身份运行 tcpdump 命令,还能在 PHYSICS 组机器上运行 DUMP 组命令,但是只能以 operator 用户的身份运行,此时用户 herb 输入的实际命令类似于下面:
$ sudo -u operator /sbin/dump 0u /dev/hda2
第三行说明用户 lynda 能以任意用户身份在任意机器上运行所有除 SHELL 组的命令,不过要注意的是,虽然不能直接执行 SHELL 组的命令,但是可以通过其他方式来间接执行,比如采用下面这种方式:
$ cp -p /bin/bash /tmp/bash
$ sudo /tmp/bash
一般来说,任何设定“除……以外的命令”的做法都注定要失败,这样写的目的只是为了避免用户不经意的使用。
最后一行说明 wheel 组的用户能在除 PHYSICS 组的机器上运行 PRINTING 组命令,并且这些运行命令不需要任何口令(NOPASSWD)。