简述sudo安全切换工具，及详细讲解visudoer

一、sudo安全切换工具

• 1、sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。
• 2、sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，登记在特殊的文件中（通常是/etc/sudoers），即完成对该用户的授权（此时该用户称为“sudoer”）；在一般用户需要取得特殊权限时，其可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内（默认为5分钟，可在/etc/sudoers自定义），使用sudo不需要再次输入密码。

二、sudo命令

• 命令语法：

sudo [options] COMMAND

常见options：
-l COMMAND :列出用户可执行或不可执行的命令信息；
-k：清除此前缓存的用户成功认证的时间戳，默认缓存时间戳为5分钟；

三、visudo

• 配置文件：/etc/sudoers
• 也可以用visudo命令编辑修改/etc/sudoers配置文件

[root@bogon ~]# useradd fedora     #添加一个用户
[root@bogon ~]# echo '12345' | passwd --stdin fedora  #给新用户添加密码
更改用户 fedora 的密码 。
passwd：所有的身份验证令牌已经成功更新。
[root@bogon ~]# visudo     #编辑配置文件
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL       !/bin/su,!/usr/bin/password root          #组设置，必须是基本组，组里的用户可以执行任何权限,限制普通用户使用su命令和给root修改密码
fedora ALL=(ALL)        /usr/sbin/useradd，/usr/sbin/userdel    #设置fedora只能有添加和删除用户操作权限
[root@bogon ~]# su fedora   #切换到fedora用户
[fedora@bogon root]$ sudo useradd user1 #测试新建一个用户
[sudo] fedora 的密码：
[fedora@bogon root]$ tail -1 /etc/passwd       #查询是否新建用户
user1:x:1001:1001::/home/user1:/bin/bash
[fedora@bogon root]$ sudo -k #清除记录信息
[fedora@bogon root]$ sudo -l  #查看sudo可以执行的命令

• 定义别名的方法：
• ALIAS_TYPE NAME=item1, item2, item3, ...
• NAME：别名名称，必须使用全大写字符；

别名类型ALIAS_TYPE:
User_Alias：定义用户别名，用户组（前面加%）
Host_Alias：定义主机别名
Runas_Alias：用来定义runas别名，这个别名指定的是“目的用户”，即sudo 允许切换至的用户；
Cmnd_Alias：定义命令别名；

• 注意：用户名当然是在系统中存在 的，在/etc/paswd中必须存在；对于定义命令别名，成员也必须在系统中事实存在的文件名（需要绝对路径）；

例如：

• 单个用户授权命令别名

[root@bogon ~]#visudo  #编辑配置文件
## Allows people in group wheel to run all commands
#%wheel ALL=(ALL)       ALL
User_Alias USERADMIN=fedora,centos   #配置别名组，组里有两个用户
Cmnd_Alias NETADMINCMD = /usr/sbin/ip    #配置命令别名1
Cmnd_Alias USERADMINCMD = /usr/sbin/userdel, /sbin/useradd #配置命令别名2

fedora ALL=(ALL)        NETADMINCMD          #fedora使用命令别名1权限
centos ALL=(ALL)        NETADMINCMD,USERADMINCMD#centos用户使用命令别名1和权限

• 用户别名组授权命令别名

[root@bogon ~]#visudo  #编辑配置文件
## Allows people in group wheel to run all commands
#%wheel ALL=(ALL)       ALL
User_Alias USERADMIN=fedora,centos   #配置别名组，组里有两个用户
Cmnd_Alias NETADMINCMD = /usr/sbin/ip    #配置命令别名1
Cmnd_Alias USERADMINCMD = /usr/sbin/userdel, /sbin/useradd #配置命令别名2
USERADMIN     ALL=(ALL)    NOPASSWD: NETADMINCMD, PASSWD:USERADMINCMD
#useradmin组里面的用户都有拥有两个别名中权限，执行netadmincmd时不需要密码，执行useradmincmd时需要密码

• 测试

[root@bogon ~]# su fedora
[fedora@bogon root]$ sudo -l
[sudo] fedora 的密码：
用户 fedora 可以在 bogon 上运行以下命令：
    (ALL) /usr/sbin/ip
[root@bogon ~]#su  
[root@bogon ~]#useradd centos      #添加centos用户
[root@bogon ~]# echo '12345' | passwd --stdin centos
更改用户 centos 的密码 。
passwd：所有的身份验证令牌已经成功更新。
[root@bogon ~]# su centos
[centos@bogon root]$ sudo -l
用户 centos 可以在 bogon 上运行以下命令：
    (ALL) /usr/sbin/ip, /usr/sbin/userdel, /sbin/useradd