使用别名提权(使用大写字母表示)
用户定义别名 User_Alias 别名=用户名列表
命令定义别名 Cmed_Alias 别名=命令列表
主机定义别名 Host_Alias 别名=主机名列表
1、用户tom通过sudo方式控制httpd、mysqld服务的运行
[root@svr7 ~]#vim /etc/sudoers
Cmnd_Alias LAMP_CTRL=/sbin/service httpd *, /sbin/service mysqld, /etc/init.d/ht
tpd, /etc/init.d/mysqld
tom localhost,svr7=LAMP_C
2、切换为tradm用户,并验证sudo执行权限
[root@svr7 ~]# su - tom
[tom@svr7 ~]$ sudo -l
[sudo] password for tom: //验证用户tradm的口令
用户 tom 可以在该主机上运行以下命令:
(root) /sbin/service httpd *, /sbin/service mysqld *, /etc/init.d/httpd,
/etc/init.d/mysqld
[tom@svr7 ~]$ service mysqld start //不用sudo时启动服务失败
[tom@svr7 ~]$ sudo service mysqld start //通过sudo启动服务成功
1、允许用户kenji通过sudo方式添加/删除/修改除root以外的用户账号
[root@svr7 ~]#vim /etc/sudoers
Cmnd_Alias UADM_CTRL=/usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,
!/usr/sbin/user* * root
kenji localhost,svr7=UADM_CTRL
2、切换为kenji用户,验证sudo权限
[root@svr7 ~]# su – kenji
[kenji@svr7 ~]$ sudo -l
用户 ugadm 可以在该主机上运行以下命令:
(root) /usr/bin/passwd, !/usr/bin/passwd root, /usr/sbin/user*,
!/usr/sbin/user* * root
[kenji@svr7 ~]$ sudo useradd newuser01 //可以添加用户
[kenji@svr7 ~]$ sudo passwd newuser01 //可以修改普通用户的口令
更改用户 newuser01 的密码 。
新的 密码:
重新输入新的 密码:
passwd: 所有的身份验证令牌已经成功更新。
3、不能修改root用户的属性
[kenji@svr7 ~]$ sudo usermod -L root
对不起,用户 ugadm 无权以 root 的身份在 svr7.xin.com 上
注意:类Shell的程序不要允许用户sudo执行,否则等同于开放所有root权限。
比方说,如果将/bin/bash复制为/sbin/serv1ce(名称可以有一定迷惑性),然后夹杂在其他正常命令里一起授权给用户tradm,则用户 tradm执行sudo serv1ce后就具有了root的身份。
[kenji@svr7 ~]$ sudo serv1ce //执行伪装的Shell程序
[sudo] password for kenji: //验证用户口令
[root@svr7 zengye]# whoami //查看当前身份
root