Linux给普通用户提权

给普通用户提权

1.切换用户的方式：

切换用户格式： su - 用户名
注：root→任意用户，不验证密码
普通用户→其他用户，验证目标用户的密码
限制使用su命令的用户：
PAM安全认证(可插拔式认证模块)：vi /etc/pam.d/su

2.修改配置文件
（1）别名规则的定义格式：
AliasType
NAME = item1, item2, …
或者
AliasType NAME = item1, item2, item3 :
NAME = item4, item5
其中：
AliasType是指别名类型，包括四种：HostAlias、UserAlias、RunasAlias和Cmnd_Alias。NAME就是别名；
注：NAME的命名是包含大写字母、下划线以及数字，但必须以一个大写字母开头。
①：Host_Alias
定义主机别名的例子如下：
Host_Alias HT1=localhost,ztg,192.168.0.0/24
主机别名是HT1，“=”号右边是成员。
Host_Alias HT1=localhost,ztguang,192.168.10.0/24:HT2=ztg2,ztg3
定义了两个主机别名HT1和HT2，别名之间用“:”号隔开。
②：User_Alias
用户别名，别名成员可以是用户，用户组（前面要加%号）。
User_Alias ADMIN=ztg,ztguang
定义用户别名ADMIN，有两个成员ztg和ztguang，这两个成员要在系统中确实存在。
③：Runas_Alias
用来定义runas别名，这个别名是指sudo允许切换到的用户；
Runas_Alias RUN_AS = root
定义runas别名RUN_AS，有一个成员root。
④：Cmnd_Alias
定义命令的别名，这些命令必须是系统存在的文件，要用绝对路径，文件名可以用通配符表示。
Cmnd_Alias SERVICES = /sbin/service,/sbin/chkconfig
（2） sudo配置文件/etc/sudoers
（vi /etc/sudoers等同于visudo）
授权规则的定义格式：
①：授权规则的定义格式：
授权用户 主机=命令动作
②： 授权用户 主机=[(切换到哪些用户或用户组)] [是否需要密码验证] 命令1,[(切换到哪些用户或用户组)] [是否需要密码验证] [命令2],[(切换到哪些用户或用户组)] [是否需要密码验证] [命令3]

这三个要素缺一不可，但在动作之前也可以指定切换到特定用户下，在这里指定切换的用户要用( )号括起来，如果不需要密码直接运行命令的，应该加NOPASSWD:参数，但这些可以省略。

配置sudo授权：
记录格式： 用户/用户组 主机名列表 = 命令程序列表
实例：使用户u1能够有权限挂载/dev/sr0到/media目录下
/etc/sudoers.d下的文件：
u1 ALL=(ALL) /bin/mount /dev/sr0 /media