linux用户提权命令是什么意思,Linux用户管理用户提权命令sudo总结

1、 Linux用户管理用户提权命令sudo

sudo可以让普通用户拥有以root权限去执行命令。

2、 sudo提权配置文件及使用语法

配置sudo必须通过编辑/etc/sudoers文件，而且只有超级用户才可以修改它，还必须使用visudo编辑。之所以使用visudo有两个原因，一是它能够防止两个用户同时修改它；二是它也能进行有限的语法检查。所以，即使只有你一个超级用户，你也最好用visudo来检查一下语法。

2.1 sudo命令参数：

参数说明

-l列出用户在主机上可用和禁止的命令

-k删除时间戳,再次使用sudo时需要用户密码

-u指定用户身份

-v验证时间戳

[user1@localhost ~]$sudo -l查看用户可用和禁止的命令

[sudo] password for user1:

Matching Defaults entries for user1 on this host:

User oldgirl may run the following commands on this host:

(ALL) /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm,/usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

2.2 提权配置格式说明：

提权的用户主机=(运行身份)允许和禁止的命令

rootALL=(ALL)ALL

3 、sudoers配置文件中的别名分类

1)用户别名：User Aliases

2)主机别名：Host Aliases

3)身份别名：Runas Aliases

4)命令别名：Command Aliases

4 、sudo配置注意事项

1)命令别名下的成员必须是文件或目录的绝对路径。

2)别名名称包含大写字母、数字、下划线(字母必须大写)。

3)一个别名下有多个成员，成员之间用，逗号隔开，成员必须是真是有效存在的。

4)别名成员受别名类型制约，定义什么样类型的别名就要有与之对应的成员匹配。

5)别名规则是每行一个规则，如果一行容不下是可通过 \ 续行。

6)指定切换的用户身份用()括号括起来，如果省略则默认为root用户。

7)如不需要密码直接运行，应加NOPASSWD:参数

8)禁止某类命令是，在动作命令全家！号，将其放在允许命令的后面。

9)提权用户如果是用户组的话，在用户组前面加%。

5、sudo日志审计

1、创建sudo日志文件

[root@oldboy ~]#touch /var/log/sudo.log

2、使用visudo编辑/etc/sudoers配置文件，在最后一行添加如下代码后保存退出。

(必须用tab分割开)

Defaults        logfile=/var/log/sudo.log

3、查看日志

[root@localhost ~]#tail /var/log/sudo.log

Jun  3 11:27:18 : user1 : TTY=pts/2 ; PWD=/home/oldman ; USER=root ;

COMMAND=/sbin/ifconfig

Jun  4 02:51:42 : user2 : TTY=pts/1 ; PWD=/home/oldgirl ; USER=root ;

COMMAND=list