文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

6个超实用的Sudo命令使用技巧

2024-12-03 09:45

关注

 sudo 表示 “superuser do”,它允许已验证的用户以其他用户的身份来运行命令。其他用户可以是普通用户或者超级用户。然而,大部分时候我们用它来提权运行命令,以替代直接使用 root 用户的操作。sudo 命令与安全策略配合使用,安全策略可以通过文件 /etc/sudoers 来配置。其安全策略具有高度可拓展性,支持插件扩展。默认情况下 /etc/sudoers 是不能被任何人直接编辑的,因为它的权限是 440,虽然也可以对其赋予写权限后再编辑,但推荐使用 visudo 命令编辑该文件。

1. 工作模式理解

简述其使用工作流程和配置文件配置!

  1. # 允许 sudo 组执行所有命令  
  2. %sudo ALL=(ALL:ALL) ALL  
  3. # 允许用户执行所有命令,且无需输入密码  
  4. escape ALL =(ALL) NOPASSWD: ALL  
  5. # 仅允许用户执行 echo, ls 命令  
  6. escape ALL =(ALL) NOPASSWD: /bin/echo /bin/ls  
  7. # 运行本机的用户执行关机命令  
  8. escape localhost=/sbin/shutdown -h now  
  9. # 允许 users 用户组中的用户像 root 用户一样使用 mount、unmount、chrom 命令  
  10. %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom 
  1. # 指定用户尝试输入密码的次数,默认值为3  
  2. Defaults passwd_tries=5  
  3. # 设置密码超时时间,默认为 5 分钟  
  4. Defaults passwd_timeout=2  
  5. 默认 sudo 询问用户自己的密码,添加 targetpw 或 rootpw 配置可以让 sudo 询问 root 密码  
  6. Defaults targetpw  
  7. # 指定自定义日志文件  
  8. Defaults logfile="/var/log/sudo.log"  
  9. # 要在自定义日志文件中记录主机名和四位数年份,可以加上 log_host 和 log_year 参数  
  10. Defaults log_host, log_year, logfile="/var/log/sudo.log"  
  11. # 保持当前用户的环境变量  
  12. Defaults env_keep += "LANG LC_ADDRESS LC_CTYPE COLORS DISPLAY HOSTNAME EDITOR"  
  13. Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"  
  14. # 安置一个安全的 PATH 环境变量  
  15. Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" 

2. 使用技巧总结

    主要介绍使用 sudo 相关命令的使用技巧和问题处理方式!

当我使用 visudo 命令的时候,它总是用 nano 编辑器打开它,对应平时习惯使用 vi 或者 vim 的用户来说,显得有些别扭,以及操作不够自如。所以,如何更好的将 visudo 编辑器从 nano 更改为 vim 就变得非常重要了。

最佳的解决办法,就是调用命令,永久的将终端的编辑器更换成为 vim 编辑器,一劳永逸。我们只需要执行如下命令,输入自己需要的编辑器序号并按下回车键即可。下次执行 visudo 命令的时候,就会使用 vim 编辑器打开文件。 

  1. # 因为/etc/sudoers普通用户无法打开和使用  
  2. $ sudo update-alternatives --config editor  
  3. There are 4 choices for the alternative editor (providing /usr/bin/editor).  
  4.   Selection    Path                Priority   Status  
  5. ------------------------------------------------------------  
  6. * 0            /bin/nano            40        auto mode  
  7.   1            /bin/ed             -100       manual mode  
  8.   2            /bin/nano            40        manual mode  
  9.   3            /usr/bin/vim.basic   30        manual mode  
  10.   4            /usr/bin/vim.tiny    10        manual mode  
  11. Press enter to keep the current choice[*], or type selection number: 3 

其次的解决方法,就是通过环境变量修改当前终端的默认编辑器。 

  1. # 在.zshrc或.profile文件中  
  2. $ export EDITOR=vim 
  3. # 希望执行对visudo生效  
  4. $ sudo EDITOR=vim visudo  
  5. # 或者修改/etc/sudoers文件的默认编辑器  
  6. Defaults editor=/usr/bin/vim 

在使用 vim 的时候,当以普通用户打开一个只有 root 用户才有权限操作的文件时,在编辑完成之后保存时发现,这个文件没有权限修改。好不容易把文件编辑完了,却无法保存,就只能放弃,然后退出,再以 root 权限打开,重新编辑,是在痛苦!那有没有好的方法来解决这个问题呢?咳咳咳,肯定是有的。 

  1. # Vim命令模式下执行即可强制保存  
  2. # w: 表示保存文件  
  3. # !: 表示执行外部命令  
  4. # tee: 表示把数据重定向到给定文件和屏幕上  
  5. # %: 在执行外部命令时,%会扩展成当前文件名  
  6. :w !sudo tee % 

上述方式非常完美的解决了不能保存只读文件的问题,但毕竟命令还是有些长,为了避免每次输入一长串的命令,可以将它映射为一个简单的命令加到 .vimrc 中。这样,简单的运行 :w!! 即可,命令后半部分 > /dev/null 作用为显式的丢掉标准输出的内容。 

  1. " Allow saving of files as sudo when I forgot to start vim using sudo.  
  2. cmap w!! w !sudo tee > /dev/null % 

Sudoedit 是一个内置命令,允许用户安全地编辑文件。根据 sudo 手册页,sudoedit 等效于使用 -e 命令行选项执行 sudo。

那么这个命令会做什么呢,它会首先创建你要编辑的文件的临时副本。然后,命令将搜索 SUDO_EDITOR,VISUAL 和 EDITOR 环境变量(按此顺序),以确定应调用哪个编辑器来打开刚刚创建的临时副本。用户完成修改工作后,更改将复制回原始文件。 

  1. # Sudo命令手册页  
  2. -e, --edit  
  3. Edit one or more files instead of running a command. In lieu of a path name,  
  4. the string "sudoedit" is used when consulting the security policy. If the user  
  5. is authorized by the policy, the followingsteps are taken:  
  6.  1. Temporary copies are made of the files to be edited with  
  7.  the owner set to the invoking user.  
  8.  2. The editor specified by the policy is run to edit the  
  9.  temporary files. The sudoers policy uses the 
  10.  SUDO_EDITOR, VISUAL and EDITOR environment variables (in  
  11.  that order). If none of SUDO_EDITOR, VISUAL or EDITOR  
  12.  are set, the first program listed in the editor  
  13.  sudoers(5) option is used.  
  14.  3. If they have been modified, the temporary files are  
  15.  copied back to their original location and the temporary  
  16.  versions are removed.  
  17. If the specified file does not exist, it will be created. Note that unlike most  
  18. commands run by sudo, the editor is run with the invoking user is environment  
  19. unmodified. If, for some reason, sudo is unable to update a file with its edited  
  20. version, the user will receive a warning and the edited copy will remain in a  
  21. temporary file. 

其中 sudo 命令是权限委派的命令,在生产环境中是非常常用的,默认情况下 sudo 命令会话时间是在 15 分钟。要设置 sudo 密码超时的值,需要使用 passwd_timeout 参数进行设置。

可以以分钟设置为你所需的任何时间,它会在超时之前一直等待。如果要为每个执行的 sudo 命令弹出密码提示,你也可以将时间设置为 0,或者通过设置值 -1 永久禁用密码提示。 

  1. # 设置timeout时间  
  2. # 意味着sudo密码提示将会在用户使用20分钟后过期  
  3. Defaults        env_reset,timestamp_timeout=20 

如何我们管理的服务器,开发或者其他人员需要登录该服务器,进行环境调试或者问题复现等情况。这时,就需要我们给对应的用户开通登录的访问权限。但是如果我们直接编辑 /etc/sudoers 文件的话,之后当对方使用完成之后我就还需要手动进行清理。如果我们忘记的话,该开发或者其他人员将一直可以登录该服务器,会有一定程度的安全问题。

不幸的是,对应临时授权的话,/etc/sudoers 文件中没有对应的配置,可以对某个用户或者用户组进行指定范围的时间授权。当用户到达指定时间点之后,将拒绝该用户再次进行登录了。对应此种情况,我们可以通过 crontab 定时任务与 /etc/sudoers.d 目录的机制可以完美的解决上述问题。

我们通过定时任务的定时执行目录,来定时刷掉 /etc/sudoers.d/ 目录下的用户或者用户组的授权配置文件。比如,我们需要定时每日刷掉今日临时授权的用户或者用户,可以在 /etc/cron.daily 目录下面创建用于删除 /etc/sudoers.d/ 目录的 rm -rf 命令,之后在固定的时间会自动删除。对应授权用户,我们使用在 /etc/sudoers.d/ 目录下创建单独的配置文件,而不是直接修改 /etc/sudoers 文件。 

  1. # Crontab有多种定时机制  
  2. # 下述分别表示每天、每时、每月、每周定时执行  
  3. $ ls -dl /etc/cron.* | grep -v cron.d$  
  4. drwxr-xr-x 2 root root 4096 May 15 06:18 /etc/cron.daily  
  5. drwxr-xr-x 2 root root 4096 Feb 14  2019 /etc/cron.hourly  
  6. drwxr-xr-x 2 root root 4096 Feb 14  2019 /etc/cron.monthly  
  7. drwxr-xr-x 2 root root 4096 Jun 18 09:57 /etc/cron.weekly  
  8. # 创建单独的授权配置文件  
  9. $ ls -lh /etc/sudoers.d/  
  10. -r--r----- 1 root root 666 Oct  6  2017 lisi  
  11. -r--r----- 1 root root 958 Jan 18  2018 zhangsan   
  12. # 查看授权配置文件的内容  
  13. $ cat /etc/sudoers.d/zhangsan  
  14. ALL ALL = (root) NOPASSWD: zhangsan 

我们日常在使用 sudo 命令的时候,常常会遇到,当切换用户之后,发现之前设置的环境变量怎么不见了呢?这是因为,我们执行 sudo 命令之后会切换用户,如果保留环境变量会有一定的安全问题,系统会默认重置环境变量为安全的环境变量。先前设置的变量都会失效,只有少数配置文件中指定的环境变量能够保存下来。

我们可以看一下 sudo 配置文件 /etc/sudoers 来找找作用原因。我们执行如下命令之后,可以看到如下输入(有可能和我这里的不一样)。其中 env_reset 表示默认会重置环境变量,因此我们自定义的变量会在 sudo 命令执行之后失效,也就不会正确获取变量值了。而 env_keep 则表示用于保留部分环境变量不被重置,需要保留的变量就写入双引号之中,可自行追加需要保留的变量。最后就是 secure_path 变量,其作用就是包含的路径将被当做 sudo 环境的 PATH 变量来使用。如果在 sudo 环境无法找到某些命令,那么可以将这些命令的路径加入该配置项之中。 

  1. $ sudo sed '/^#/d;/^$/d' /etc/sudoers  
  2. Defaults    env_reset  
  3. Defaults    env_keep =  "COLORS IDSPLAY HOSTNAME HISTSIZE LS_COLORS"  
  4. Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS"  
  5. Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin" 

我们知道原因之后,就可以针对上述情况作出不用的处理方式,来解决 sudo 命令找不到环境变量的问题。

第一种解决方法,就是在使用的时候,使用 -E 参数。加上 -E 选项后,用户可以在 sudo 执行时保留当前用户已存在的环境变量,不会被 sudo 重置。另外,如果用户对于指定的环境变量没有权限,则会报错。需要注意的是,在内部测试机器中,安全性要求不高的情况下使用。 

  1. $ sudo sudo -E 

第二种解决方法,就是修改 sudo 配置文件。可以通过修改 /etc/sudoers 文件的 env_keep 和 secure_path 配置项,来指定 sudo 环境中需要保留的环境变量和路径。当然,我们也可以把配置文件的变量 !env_reset 给去掉,这样就不会有限制了。 

  1. $ sudo vim /etc/sudoers  
  2. Defaults !env_reset 

3. 参考链接地址

 

来源:奇妙的Linux世界内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯