1、Centos创建用户并授权:
https://www.jb51.net/article/120366.htm
http://blog.chinaunix.net/uid-26642180-id-3962245.html (文件含义说明,配置解析)
(Linux服务器权限管理之sudo高级应用)
所以经测试结果表明,sa ALL= !/sbin/fdisk ,/usr/sbin*,/sbin*命令执行的匹配规则是从后到前的,所以后面执行sudofdisk不会提示权限不足的现像
(visudo各行的含义)
https://yq.aliyun.com/articles/539323?spm=5176.10695662.1996646101.searchclickresult.6b1a743bIBiMsP (阿里云visudo配置)
usermod -s /bin/tcsh vic (修改bash环境)
——————————————————————————————————————————————————————————————————————————————————
查看所有组命令
cat /etc/group
1、查看free命令存放路径,whereis free
修改命令的执行权限,原权限是755,修改为744,chmod 755 /usr/bin/free 即可取消其它用户的执行权限
2、修改用户的环境变量 ~/.bashrc,和~/.bash_profile,两个都得改要不不生效
PATH=$HOME/programs
export PATH
~/.bash_profile 是交互式、login 方式进入 bash 运行的
~/.bashrc 是交互式 non-login 方式进入 bash 运行的
通常二者设置大致相同,所以通常前者会调用后者。
# User privilege specification
root ALL=(ALL) ALL
# Allow members of group sudo to execute any command after they have
# provided their password
# (Note that later entries override this, so you might need to move
# it further down)
%sudo ALL=(ALL) ALL
#
#includedir /etc/sudoers.d
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL以上是我的Ubuntu10.04的默认/etc/sudoers文件。"#"开头的都是注释可以忽略。
首先用户需要转换成根用户并使用visudo命令打开/etc/sudoers文件。
讲解:root ALL=(ALL) ALL
root表示被授权的用户,这里是根用户;
第一个ALL表示所有计算机;
第二个ALL表示所有用户;
第三个ALL表示所有命令;
全句的意思是:授权根用户在所有计算机上以所有用户的身份运行所有文件。
%admin ALL=(ALL) ALL同上面一样,只不过被授权的成了admin这个组。
通用格式
/etc/sudoers的通用格式为:
user host run_as command
user:一位或几位用户,在/etc/group中可以用一个%代替它,组对象的名称一定要用百分号%开头。
host:一个或几个主机名;
run_as:作为哪个用户运行,常见选项是root和ALL
command:想让用户或组运行的一个或几个根级别命令。
例如:
hans ALL=(root) useradd,userdel
授权hans用户在所有计算机上以root身份运行useradd,userdel命令。
%smith ALL=(ALL) NOPASSWD:useradd,userdel
授权smith组全部成员在所有计算机上以所有用户的身份运行useradd,userdel命令;且运行时不必输入密码。
需要注意的是,当我们为用户定义可以运行的命令时,必须使用完整的命令路径。这样做是完全出于安全的考虑,如果我们给出的命令只是简单的userad 而非 /usr/sbin/useradd,那么用户有可能创建一个他自己的脚本,也叫做userad,然后放在它的本地路径中,如此一来他就能够通过这个名为 useradd的本地脚本,作为root来执行任何他想要的命令了。这是相当危险的!
