sudo应用简介&&sudoers中文man文件

sudo是linux下常用的允许普通用户使用终极用户权限的工具。
他的主要设置文件是sudoers,linux下通常在/etc目录下,如果是solaris,缺省不装sudo的,编译安装后通常在安装目录的etc目录下,不过不管sudoers文件在哪儿,sudo都提供了一个编辑该文件的命令:visudo来对该文件进行修改。强烈推荐使用该命令修改sudoers,因为他会帮你校验文件设置是否正确,如果不正确,在保存退出时就会提示你哪段设置出错的。
言归正传,下面介绍怎么设置sudoers
首先写sudoers的缺省设置:
#############################################################
# sudoers file.
#
# This file MUST be edited with the ’visudo’ command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults specification
# User privilege specification
root ALL=(ALL) ALL
# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
# Samples
# %usersALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %userslocalhost=/sbin/shutdown -h now
##################################################################
1. 最简单的设置,让普通用户support具有root的所有权限
执行visudo之后,能看见缺省只有一条设置:
root ALL=(ALL) ALL
那么你就在下边再加一条设置:
support ALL=(ALL) ALL
这样,普通用户support就能够执行root权限的所有命令
以support用户登录之后,执行:
sudo su -
然后输入support用户自己的密码,就能转换成root用户了
2. 让普通用户support只能在某几台服务器上,执行root能执行的某些命令
首先需要设置一些Alias,这样在下面设置权限时,会方便一些,不用写大段大段的设置。Alias主要分成4种
Host_Alias
Cmnd_Alias
User_Alias
Runas_Alias
1) 设置Host_Alias:就是主机的列表
Host_Alias HOST_FLAG = hostname1, hostname2, hostname3
2) 设置Cmnd_Alias:就是允许执行的命令的列表
Cmnd_Alias COMMAND_FLAG = command1, command2, command3
3) 设置User_Alias:就是具有sudo权限的用户的列表
User_Alias USER_FLAG = user1, user2, user3
4) 设置Runas_Alias:就是用户以什么身份执行(例如root,或oracle)的列表
Runas_Alias RUNAS_FLAG = operator1, operator2, operator3
5) 设置权限
设置权限的格式如下:
USER_FLAG HOST_FLAG=(RUNAS_FLAG) COMMAND_FLAG
如果不必密码验证的话,则按照这样的格式来设置
USER_FLAG HOST_FLAG=(RUNAS_FLAG) NOPASSWD: COMMAND_FLAG
设置示例:
############################################################################
# sudoers file.
#
# This file MUST be edited with the ’visudo’ command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#
# Host alias specification
Host_Alias EPG = 192.168.1.1, 192.168.1.2
# User alias specification
# Cmnd alias specification
Cmnd_Alias SQUID = /opt/vtbin/squid_refresh, /sbin/service, /bin/rm
# Defaults specification
# User privilege specification
root ALL=(ALL) ALL
support EPG=(ALL) NOPASSWD: SQUID
# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
# Samples
# %usersALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %userslocalhost=/sbin/shutdown -h now
###############################################################
我们不能使用su让他们直接变成root,因为这些用户都必须知道root的密码,这种方法非常不安全,而且也不符合我们的分工需求。一般的做法是利用权限的设置,依工作性质分类,让特别身份的用户成为同一个工作组,并设置工作组权限。例如:要wwwadm这位用户负责管理网站数据,一般Apache Web Server的进程httpd的所有者是www,你能设置用户wwwadm和www为同一工作组,并设置Apache默认存放网页目录 /usr/local/httpd/htdocs的工作组权限为可读、可写、可执行,这样属于此工作组的每位用户就能进行网页的管理了。
但这并不是最佳的解决办法,例如管理员想授予一个普通用户关机的权限,这时使用上述的办法就不是非常最佳。这时你也许会想,我只让这个用户能以 root身份执行shutdown命令就行了。完全没错,可惜在通常的Linux系统中无法实现这一功能,不过已有了工具能实现这样的功能?? sudo。
sudo通过维护一个特权到用户名映射的数据库将特权分配给不同的用户,这些特权可由数据库中所列的一些不同的命令来识别。为了获得某一特权项,有资格的用户只需简单地在命令行输入sudo和命令名之后,按照提示再次输入口令(用户自己的口令,不是root用户口令)。例如,sudo允许普通用户格式化磁盘,不过却没有赋予其他的root用户特权。
1、sudo工具由文件/etc/sudoers进行设置,该文件包含所有能访问sudo工具的用户列表并定义了他们的特权。一个典型的/etc/sudoers条目如下:
代码:
liming ALL=(ALL) ALL
这个条目使得用户liming作为终极用户访问所有应用程式,如用户liming需要作为终极用户运行命令,他只需简单地在命令前加上前缀sudo。因此,要以root用户的身份执行命令format,liming能输入如下命令:
代码:
# sudo /usr/sbin/useradd sam
注意:命令要写绝对路径,/usr/sbin默认不在普通用户的搜索路径中,或加入此路径:PATH=$PATH:/usr/sbin;export PATH。另外,不同系统命令的路径不尽相同,能使用命令“whereis 命令名”来查找其路径。
这时会显示下面的输出结果:
代码:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:
#1) Respect the privacy of others.
#2) Think before you type.
Password:
如果liming正确地输入了口令,命令useradd将会以root用户身份执行。
注意:设置文件/etc/sudoers必须使用命令 Visudo来编辑。
只要把相应的用户名、主机名和许可的命令列表以标准的格式加入到文件/etc/sudoers,并保存就能生效,再看一个例子。
2、例子:管理员需要允许gem用户在主机sun上执行reboot和shutdown命令,在/etc/sudoers中加入:
代码:
gem sun=/usr/sbin/reboot,/usr/sbin/shutdown
注意:命令一定要使用绝对路径,以避免其他目录的同名命令被执行,从而造成安全隐患。
然后保存退出,gem用户想执行reboot命令时,只要在提示符下运行下列命令:
代码:
$ sudo /usr/sbin/reboot
输入正确的密码,就能重启服务器了。
如果你想对一组用户进行定义,能在组名前加上%,对其进行设置,如:
代码:
%cuug ALL=(ALL) ALL
3、另外,还能利用别名来简化设置文件。别名类似组的概念,有用户别名、主机别名和命令别名。多个用户能首先用一个别名来定义,然后在规定他们能执行什么命令的时候使用别名就能了,这个设置对所有用户都生效。主机别名和命令别名也是如此。注意使用前先要在/etc/sudoers中定义: User_Alias, Host_Alias, Cmnd_Alias项,在其后面加入相应的名称,也以逗号分隔开就能了,举例如下:
代码:
Host_Alias SERVER=no1
User_Alias ADMINS=liming,gem
Cmnd_Alias SHUTDOWN=/usr/sbin/halt,/usr/sbin/shutdown,/usr/sbin/reboot
ADMINS SERVER=SHUTDOWN
、再看这个例子:
代码:
ADMINS ALL=(ALL) NOPASSWD: ALL
表示允许ADMINS不用口令执行一切操作,其中“NOPASSWD:”项定义了用户执行操作时不必输入口令。
5、sudo命令还能加上一些参数,完成一些辅助的功能,如
代码:
$ sudo ?l
会显示出类似这样的信息:
代码:
User liming may run the following commands on this host:
(root) /usr/sbin/reboot
说明root允许用户liming执行/usr/sbin/reboot命令。这个参数能使用户查看自己目前能在sudo中执行哪些命令。
6、在命令提示符下键入sudo命令会列出所有参数,其他一些参数如下:
代码:
-V 显示版本编号。
-h 显示sudo命令的使用参数。
-v 因为sudo在第一次执行时或是在N分钟内没有执行(N预设为5)会询问密码。这个参数是重新做一次确认,如果超过N分钟,也会问密码。
-k 将会强迫使用者在下一次执行sudo时询问密码(不论有没有超过N分钟)。
-b 将要执行的命令放在背景执行。
-p prompt 能更改问密码的提示语,其中%u会替换为使用者的账号名称,%h会显示主机名称。
-u username/#uid 不加此参数,代表要以root的身份执行命令,而加了此参数,能以username的身份执行命令(#uid为该username的UID)。
-s 执行环境变量中的 SHELL 所指定的 Shell ,或是 /etc/passwd 里所指定的 Shell。
-H 将环境变量中的HOME(宿主目录)指定为要变更身份的使用者的宿主目录。(如不加-u参数就是系统管理者root。)
要以系统管理者身份(或以-u更改为其他人)执行的命令。

------------------------sudo中文man------------------------------------
sudoers中文man文件
翻译:KingArthur 日期:2003.5.2
名称
sudoers---一个关于哪些用户能执行哪些命令的列表
描述
sudoers设置文件由两种内容组成:别名(基本变量)和用户说明(user specification)(定义了谁能运行什么).sudoers的语法将在下面用扩展的巴科斯-诺尔范式(Extended Backus-Naur Form,EBNF)描述.如果你不知道什么是EBNF是什么的话也请不要放弃,事实上他非常简单,并且下面用他作的定义都是经过注释的.
EBNF的快速指导
EBNF是用来描述某种语言的语法的一种简洁且精确的方法.每一个EBNF定义都是由"production rules"这种形式组成的.例如:
symbol ::= definition | alternate1 |alternate2 ...........
每一个"production rule"都和其他的"production rule"有关联,这样就构成了这种语言的语法.EBNF也包含了下面的操作符,许多读者都能够认出这是正则表达式(regular expression)的符号.不过,不要把他们和通配符(wildcard0搞混淆了.他们有着不同的含义.
? 意味着前面的一个记号(symbol)或一组记号(group of symbol)是可选的,也就是说,能出现一次或根本就不出现
* 在前面的一个或一组记号出现零次或多次
+ 在前面的一个或一组记号出现一次或多次
括号能用来把记号组合在一起(to group symbols together),单引号能把一个字符串按照他的字面意思来解释(这和记号的名字相反).
别名
有四种别名:User_Alias,Runas_Alias,Host_Alias和Cmnd_Alias.
Alias ::= ’User_Alias’ User_Alias (’:’ User_Alias)* |
’Runas_Alias’ Runas_Alias (’:’ Runas_Alias)* |
’Host_Alias’ Host_Alias (’:’ Host_Alias)* |
’Cmnd_Alias’ Cmnd_Alias (’:’ Cmnd_Alias)*
User_Alias ::= NAME ’=’ User_List
Runas_Alias ::= NAME ’=’ Runas_List
Host_Alias ::= NAME ’=’ Host_List
Cmnd_Alias ::= NAME ’=’ Cmnd_List
NAME ::= [A-Z]([A-Z][0-9]_)*
每一个别名都是按这种形式定义的:
Alias_Type NAME = item1, item2, ....................
这里Alias_Type是User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias中的一个,NAMEW是个由大写字母,数字和下划线组成的字符串,并且他必需以一个大写字母开头.能把同一类型的多个别名定义放在同一行里,中间以一个冒号隔开.例如:
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
一个组成合法别名成员的定义紧随其后.(The definitions of what constitutes a valid alias member follow.)
User_List ::= User |
User ’,’ User_List
User ::= ’!’* username |
’!’* ’%’group |
’!’* ’+’netgroup |
’!’* User_Alias
(译注:这里应该是
User_List ::= User |
User ’,’ User_List
User ::= ’!’* username |
’!’* ’#’uids |
’!’* ’%’group |
’!’* ’+’netgroup |
’!’* User_Alias
才对)
一个User_List是由一个或多个用户名,用户ID(要加上"#"前缀),系统用户组(要加上"%"前缀),网络组(要加上"+"前缀)或其他User_Alias组成.每一个列表项都能加上一个或多个"!"前缀.奇数个"!"使这个列表项取反,偶数个"!"没有所有作用.(译注:这里的"!"也就是取反啦)
Runas_List ::= Runas_User |
Runas_User ’,’ Runas_List
Runas_User ::= ’!’* username |
’!’* ’#’uid |
’!’* ’%’group |
’!’* +netgroup |
’!’* Runas_Alias
Runas_List和User_List是非常相象的,仅仅是用Runas_Aliases替代了User_Aliases
Host_List ::= Host |
Host ’,’ Host_List
Host ::= ’!’* hostname |
’!’* ip_addr |
’!’* network(/netmask)? |
’!’* ’+’netgroup |
’!’* Host_Alias
Host_List是由一个或多个主机名,IP地址,网络号,网络组(要加上"+"前缀)或其他的Host_Alias组成的.同样的,一个列表项的值也能用"!"来取消.如果你使用了一个网络号不过没有随之指定子网掩码,那么主机的以太网接口的子网掩码将被使用-----如果他能够相配的话.子网掩码能用点分十进制表示法来指定(如:255.255.255.0),也能用CIDR(无类型域间选路)表示法指定(采用掩码中1的为数,如:24.这和前面的255.255.255.0是等价的).主机名能包含shell风格的通配符(请查看下面的"通配符"一节),不过除非你机器上的hostname命令能返回完整的主机名,为了使通配符有效你需要使用fqdn选项(见下面的"标志"小节)
Cmnd_List ::= Cmnd |
Cmnd ’,’ Cmnd_List
commandname ::= filename |
filename args |
filename ’""’
Cmnd ::= ’!’* commandname |
’!’* directory |
’!’* Cmnd_Alias
Cmnd_List是由一个或多个命令名,目录或其他Cmnd_Alias组成的列表.命令名是个能包含shell风格通配符(请查看下面的"通配符"一节)的完整文件名.一个简单的文件名永许用户以所有他们想使用的参数来执行命令.不过你也能指定命令行参数(能包含通配符).你还能通过交替的使用" "来说明这个命令执行时不能带所有命令行参数.当你在Cmnd_List中指定了一个目录时,用户将能执行这个目录中的所有文件(不包括子目录中的文件).
如果Cmnd关联上了命令行参数,那么用户在命令行上所给的参数必需精确的匹配Cmnd中的参数(或要和通配符匹配).注意,如果下面的字符在命令参数中出现的话,必须使用"\"来将其转义: ’,’, ’:’, ’=’, ’\’.
默认项
通过一个或多个Default_Entry行,一些特定的设置选项在运行时能从他们的默认值改动.(译注:好拗口哦:p)这些选项能对在所有主机上的所有用户或在某个特定主机上的所有用户或仅仅是个特定的用户产生作用.如果多个条目都匹配,那么他们会按顺序执行.如果有冲突的值,那么最后一个匹配行上的值将会产生作用.
Default_Type ::= ’Defaults’ ||
’Defaults’ ’:’ User ||
’Defaults’ ’@’ Host
Default_Entry ::= Default_Type Parameter_List
Parameter ::= Parameter ’=’ Value ||
Parameter ’+=’ Value ||
Parameter ’-=’ Value ||
’!’* Parameter ||
Parameters能是标志(flags),整数值(integer values),字符串(strings)或列表(lists).标志是个布尔值,能通过使用"!"操作符来取反.一些整数,字符串和列表参数也能在布尔上下文中使用以使其取反.由多个单词组成的值必须用双引号引起来.一些特别字符必须用"\"转义.
列表更有两个附加的操作符,+=和-=.这两个操作符被分别用来从一个列表中增加或删除条目.用"-="操作符从列表中删除不存在的项目并不算是错误.
注意,由于sudoers文件是按顺序解析的,所以放置Default段的最佳位置是在Host,User和Cmnd别名段之后,用户定义段之前.
标志
long_otp_prompt
When validating with a One Time Password scheme (S/Key or OPIE), a two-line prompt is used to make it easier to cut and paste the challenge to a local window. It’s not as pretty as the default but some people find it more convenient. This flag is off by default.
(译注:这一段我还没读懂,贴原文上来吧)
ignore_dot
如果设置(为on)的话,sudo将会忽略PATH环境变量中的’.’或’’(就是当前目录).PATH本身不会被修改.这个标志默认是on.
mail_always
每当有用户使用sudo时就给mailto user发送一封邮件.此标志默认是off.
mail_badpass
当用户使用sudo不过却输入了错误的
口令
时将给mailto user发送一封邮件.此标志默认是off.
mail_no_user
如果使用sudo的用户在sudoers中没有记录的话将给mailto user发送一封邮件.此标志默认为on.
mail_no_host
如果使用sudo的用户在sudoers中有记录,不过他不被永许在正在使用的主机上使用sudo,将给mailto user(请查看"能用在布尔上下文中的字符串"一节)发送一封邮件.此标志默认为off.
mail_no_perms
如果用户有使用sudo的权限,不过他试图用sudo使用的命令在sudoers中没有列出来,那么给mailto user发送一封邮件.此标志默认为off.
tty_tickets
如果设置(为on)的话,用户必须使用基于终端(tty)的的验证方法.一般的,sudo在ticket dir里使用一个和执行sudo的用户同名的目录.这个标志设置后,sudo将在那个目录中使用一个和执行sudo的用户登录tty同名的文件.此标志默认为on.
lecture
如果设置(为on)的话,初次使用sudo的用户将收到一个简短的lecture.此标志默认为on.
authenticate
如果设置(为on)的话,用户在用sudo执行命令之前必须通过
口令
(或通过其他的方式)来验证身分.这个默认选项能通过设置PASSWD和NOPASSWD标签(tags)来覆盖.此标志默认为on.
root_sudo
如果设置(为on)的话,root也将被永许使用sudo.将此标志设置为off来阻值用户通过使用类似于"sudo sudo /bin/sh"这样的连锁sudo命令来获得一个root权限的shell.此标志默认为on.
log_host
如果设置(为on)的话,主机名将被记录在sudo的日志文件(不是系统日志)中.此标志默认为off.
log_year
如果设置(为on)的话,四位的年份将被记录在sudo的日志文件(不是系统日志)中).此标志默认为off.
shell_noargs
如果设置(为on)并且sudo并未带所有参数执行的话,sudo的表现就象是带-s选项相同.也就是说,将会以root身分运行一个shell(如果SHELL环境变量被设置的话,这个shell就是SHELL定义的shell,否则,将运行用户/etc/passwd中项的shell字段定义的shell).此标志默认为off.
set_home
如果设置(为on)并且sudo是带-s选项执行的话,HOME环境变量将被设置为目标用户(target user)(除非sudo使用了-u选项,目标用户就是root)的主目录.这实际上使-s选项包含了-H选项.此标志默认为off.
always_set_home
如果设置(为on)的话,sudo将把HOME环境变量设置为目标用户(target user)(除非sudo使用了-u选项,目标用户就是root)的主目录.这实际上意味着-H选项总是被包含.此标志默认是off.
path_info
一般来说,如果一个命令不能在PATH环境变量中找到的话,sudo将会告诉用户.不过某些站点可能会希望禁止这个特性.因为这能用来收集一些关于普通用户没有权限执行的命令的位置的信息.不利之处在于,如果命令只是不在用户的PATH中的话,sudo将告诉用户他们不被永许执行这些命令,这可能会把人高糊涂.此标志默认是off.
preserve_groups
默认地,sudo会初始化目标用户(target user)所在组列表的组向量(译注:原文是By default sudo will initialize the group vector to the list of groups the target user is in.)preserve_groups设置后,用户已存在的组向量将被保存不变.真实组ID和有效组ID仍然会被设置和目标用户相匹配.此标志默认是off,
fqdn
如果你想在sudoers中使用完整主机名的话,请设置此项.例如:使用myhost.mydomain.edu来替代myhost.设置后如果原意的话你也能使用短格式(甚至把两种格式混合起来使用).注意,打开fqdn标志需要让sudo进行DNS解析,而如果DNS停止工作(例如机器没有连入网络)的话会导致sudo无法使用.同时需要注意的是,你必须使用DNS知道的主机正式名称,也就是说你不能使用主机的别名(CNAME entry),因为你无法从DNS处得到所有的别名.如果你机器的主机名(就是hostname命令的输出)已是完整格式,你就不必设置fqdn.此标志默认是off.
insults
如果设置(为on)的话,sudo将会侮辱(insult)输入错误
口令
的用户(译注:这也能?:p).此标志默认为off.
requiretty
如果设置(为on)的话,sudo仅仅在用户从一个真正的tty上登录时才会执行.这将不永许像"rsh somehost sudo ls"这样的命令,因为rsh并不分配一个tty.因为当没有tty存在时无法关闭echo,所以一些站点可能会希望设置这个标志来阻止用户输入可见(回显)的
口令
.此标志默认为off.
env_editor
如果设置(为on)的话,visudo将使用在EDITOR或VISUAL环境变量中定义的编辑器,如果EDITOR和VISUAL都没有定义的话将使用默认的编辑器列表.注意,这可能造成一个安全
漏洞
,因为这永许用户以root身份运行任意的命令而不被日志记录.一个安全的变通方法是在editor(见下面的"字符串"小节)中保存一个用冒号分隔的编辑器列表.这样visudo将仅仅使用EDITOR或VISUAL中定义的编辑器-----如果他们和editor列表中的某个项目匹配的话.
rootpw
如果设置(为on)的话,sudo将提示输入root的
口令
而不是执行sudo命令的用户的
口令
.此标志默认为off.
runaspw
如果设置(为on)的话,sudo将提示输入由runsa_default选项定义的用户(默认为root)的
口令
而不是执行sudo命令的用户的
口令
.此标志默认为off.
targetpw
如果设置(为on)的话,sudo将提示输入由sudo的-u选项指定的用户(默认为root)的
口令
而不是执行sudo的用户的
口令
.此标志默认为off.
set_logname
一般地,sudo将把LOGNAME和USER环境变量设置为目标用户(除非使用了-u选项的话,就是root)的名字.不过,因为一些程式(包括RCS版本控制系统)使用LOGNAME来确认用户的真实身份,他可能想要改动这种行为,这能通过取消set_logname选项来实现.
stay_setuid
一般地,当sudo执行一个命令时,真实UID和有效UID都被设置为目标用户(默认是root)的UID.这个选项改动了这种行为,他把真实UID保留为执行sudo的用户的UID.换句话说,这使sudo成为了一个setuid程式.这在那些当setuid程式运行时禁用一些有潜在危险的功能的系统上会非常有用.尽管如此,请注意这意味着sudo运行时的真实UID将是执行sudo命令的用户的UID,这可能会允许用户在能够在日志中记录下一个failure之前杀死sudo,这倚赖于你的
操作系统
怎么定义信号和setuid进程之间的相互作用.
env_reset
如果设置(为on)的话,sudo将把环境重置为只包含下列变量:HOME,LOGNAME,PATH,SHELL,TERM和USER(此外更有SUDO_*).在这些变量中,只有TERM保留原环境中的值不变,其他的变量都被设置为默认值(值可能被set_logname选项修改).如果sudo编译时加入了SECURE_PATH选项,他的值将被作为PATH环境变量的值.其他的变量能由设置env_keep选项来保存.
use_loginclass
设置(为on)的话,sudo将执行对目标用户的登录类指定的默认动作----如果存在的话.此选项仅仅在sudo设置时带有--with-logincap选项时才存在.此标志默认是off.
整数
passwd_tries
sudo向日志中写入一个failure并退出之前允许用户输入
口令
的次数,默认为3.
能用在布尔上下文中的整数(integers that can be used in a boolean context)
loglinelen
日志文件每行中的字母数.这个值用来决定日志文件中什么时候折行.这个选项仅影响sudo的日志,而对系统日志文件没有影响.默认值为80(使用0或取消此选项来禁止折行).
timestamp_timeout
sudo再次询问
口令
之前逝去的时间(以分钟记).默认值为5.如果想要总是询问
口令
的话请把此值设置为0.如果设置为负数的话,用户的时间戳永远不会过期.这能用来允许用户分别使用sudo -v和sudo -k来建立或删除他们自己的时间戳.
passwd_timeout
sudo的
口令
询问超时时间(分钟记).默认为5.设置为0能取消
口令
超时.
umask
执行命令时使用的umask值.要保留用户的umask值的话请取消此选项或设置为0777.此选项的默认值为0022.
字符串
mailsub
发送给mailto user的邮件使用的主题.转义字符%h将被扩展为机器的主机名.默认值为"*** SECURITY information for %h ***".
badpass_message
当用户输入了错误的
口令
时显示的信息.除非设置了insults的话,默认值将为"Sorry, try again."
timestampdir
sudo存储时间戳文件的目录.默认值为/var/run/sudo
passprompt
询问
口令
时的提示.能被sudo的-p选项或SUDO_PROMPT环境变量所覆盖.这里提供了两个转义字符:%u将被扩展为用户的登录名,而%h将被扩展为本地主机名.此选项的默认值为"Password:".
runas_default
使用sudo但没有指定-u标志时使用的默认用户.默认为root
syslog_goodpri
用户身份验证成功时使用的系统日志优先级.默认为notice
syslog_badpri
用户身份验证成功时使用的系统日志优先级.默认为alert
editor
用冒号分隔开的一个允许visudo使用的编辑器列表.可能的话visudo将选择使用和用户的USER环境变量相匹配的那个编辑器,或是列表中的第一个存在且可执行的编辑器.默认值为你系统中vi编辑器的路径.
能用在布尔上下文中的字符串(strings that can used in a boolean context)
logfile
sudo日志(不是系统日志)的存放位置.设置一个路径来打开日志功能,取消设置将关闭日志功能.(Seting a path turns on logging to a file; negating this option turns it off.)
syslog
如果起用了syslog的话将使用的系统日志设施(取消此选项来禁用系统日志记录)(译注:原文为:Syslog facility if syslog is being used for logging (negate to disable syslog logging)).默认为arthpriv.
mailerpath
用来发送报警邮件的邮件程式的路径.默认值是sendmail的路径.
mailerflags
使用邮件程式时的标记,默认为 -t.
mailto
发送报警邮件和错误邮件的目的地址.这个地址必须用双引号引起来,以免sudo解释"@"符号.默认值为root.
exempt_group
在此组中的用户将不需求
口令
和PATH.此选项默认没有设置.
verifypw
此选项控制当用户使用带有-v选项的sudo时,何时需求
口令
.他能有下面可能的值:
all:当前主机上sudoers中所有的用户条目都必须设置NOPASSWD标志来避免输入
口令
.
any:当前主机上sudoers中至少有一个用户条目必须设置NOPASSWD标志来避免输入
口令
.
never:用户使用-v标志但从不必输入
口令
.
always:用户使用-v标志但总是需要输入
口令
.
默认的值是"all".
listpw
此选项控制当用户使用带有-l选项的sudo时,何时需求
口令
.他能有下面可能的值:
all:[/size当前主机上sudoers中所有的用户条目都必须设置NOPASSWD标志来避免输入
口令
.
any:当前主机上sudoers中至少有一个用户条目必须设置NOPASSWD标志来避免输入
口令
.
never:用户使用-l标志但从不必输入
口令
.
always:用户使用-l标志但总是需要输入
口令
.
默认值为"any".
能在布尔上下文中使用的列表(lists that can be used in a boolean context)
env_check
如果含有"%"或"/"字符的话将从用户的环境中删除的环境变量.这将预防拙劣的程式中printf风格的格式所带来的伤害.这个参数能是个用双引号引起,由空格分隔的列表,或是个不带引号的单值.这个列表能通过分别使用"=",+=","-=","!"来重写,增添,删除或取反.当以root身份执行带-V选项的sudo命令时会打印出默认需要检察的环境变量列表.
env_delete
将从用户的环境中删除的环境变量.这个参数能是个用双引号引起,由空格分隔的列表,或是个不带引号的单值.这个列表能通过分别使用"=",+=","-=","!"来重写,增添,删除或取反.当以root身份执行带-V选项的sudo命令时会打印出默认将被删除的环境变量列表.
env_keep
当env_reset选项生效时将在用户的环境中保留的环境变量.这允许对sudo派生的进程的环境进行精密的控制.这个列表能通过分别使用"=",+=","-=","!"来重写,增添,删除或取反.此列表默认没有成员.
当使用系统日志进行日志记录时,sudo将接受下列值作为系统日志设施(译注:原文为When logging via syslog(3), sudo accepts the following values for the syslog facility)(syslog参数的值):authpriv(如果你的
操作系统
支持的话),auth,daemon,user,local0,local1,local2,local3,local4,local5,local6和local7.下列系统日志优先级是被支持的:alert,crit,debug,emerg,err,info,notice和warning.
用户说明(user specification)
User_Spec ::= User_list Host_List ’=’ Cmnd_Spec_List \
(’:’ User_Spec)*
Cmnd_Spec_List ::= Cmnd_Spec |
Cmnd_Spec ’,’ Cmnd_Spec_List
Cmnd_Spec ::= Runas_Spec? (’NOPASSWD:’ | ’PASSWD:’)? Cmnd
Runas_Spec ::= ’(’ Runas_List ’)’
用户说明决定在一个特定的主机上一个用户能够执行哪些命令.这些命令默认以root身份执行,但能进行基于每个命令的更改.(译注:原文为By default, commands are run as root,but this can be changed on a per-command basis)
让我们把他分成下面这些部分:
Runas_Spec
Runas_Spec是个用括号括起的一个简单的Runas_List(在上面已定义了),如果你在用户说明中没有指定一个Runas_Spec的话,将会使用默认的root的Runas_Spec(译注:这里原文为:If you do not specify a Runas_Spec in the user specification, a default Runas_Spec of root will be used).Runas_Spec设置了他后面所跟命令的默认项(译注:原文为A Runas_Spec sets the default for commands that follow it,这句话我实在是不知道怎么翻译,暂且这么译吧).对于下面的条目:
dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/who
(译注:这里应该是dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm)
这意味着用户dgb能运行/binls,/bin/kill和/usr/bin/lprm---不过只能以operator的身份执行.例如:
sudo -u operator /bin/ls
在一个条目的后面改写Runas_Spec也是可能的.如果我们把上面的条目改成这样:
dgb boulder = (operator) /bin/ls, (root) /bin/kill, /usr/bin/lprm
这样用户dgb执行/bin/ls命令是以operator身份,但执行/bin/kill和/usr/bin/lprm命令就是以root身份.
NOPASSWD和PASSWD
默认地,sudo在用户执行一个命令前会验证用户的身份.通过NOPASSWD标签能更改这个行为.就象Runas_Spec相同,NOPASSWD标签给跟在他后面的Cmnd_Spec_List中的命令设置了一个默认项(译注:原文是Like a Runas_Spec, the NOPASSWD tag sets a default for the commands that follow it in the Cmnd_Spec_List).PASSWD标签能做相反的事.例如:
ray rushmore = NOPASSWD: /bin/kill, /bin/ls, /usr/bin/lprm
这将会允许用户ray在不进行身份验证的情况下在主机rushmore上以root身份运行/bin/kill,/bin/ls和/usr/bin/lprm命令.如果你想让ray在不提供
口令
的情况下只是能运行/bin/kill,那么能修改上面的条目为:
ray rushmore = NOPASSWD: /bin/kill, PASSWD: /bin/ls, /usr/bin/lprm
注意,尽管如此,PASSWD标签对于在exempt_group选项中指定了的组中的用户无效.
默认地,如果对当前主机上的某个用户的所有一个条目设置了NOPASSWD标签的话,他将能够运行sudo -l而不提供
口令
.另外,如果对属于当前主机的用户的所有条目都设置了NOPASSWD标签的话,这个用户就只能运行sudo -v而不提供
口令
.(译注:前面两句话的原文是By default, if the NOPASSWD tag is applied to any of the entries for a user on the current host, he or she will be able to run sudo -l without a password. Additionally, a user may only run sudo -v without a password if the NOPASSWD tag is present for all a user’s entries that pertain to the current host).这个行为能通过设置verifypw和listpw选项来更改.
通配符(又称meta字符)
sudo允许在sudoers中的路径名和命令行参数中使用shell风格的通配符.通配符匹配是通过POSIX的fnmatch标准程式实现的.注意,这不是正则表达式.
* 匹配任意一组零个或多个字符
? 匹配任意一个字符
[...] 匹配任意一个在大括号中指定范围里的字符
[!...] 匹配所有一个不在大括号中指定范围里的字符
\x 任意一个字符"x"识别为单纯的"x".这用来转义像"*","?","[","]"和"}"这样的一些特别字符
注意,路径名中的通配符不会匹配正斜线("/").在匹配命令行参数时,因为斜线不被通配符匹配,这使/usr/bin/*匹配/usr/bin/who而不匹配/usr/bin/X11/xterm.
通配符规则的例外
对上面的规则有下面的例外:
"""" 如果空字符串""是sudoers条目中仅有的命令行参数,这意味着这条命令执行时不允许带有所有参数.
其他的特别字符和保留字
美元符("#")被用来指明一条注释(除非他出目前用户名上下文中并且后面跟有一个或多个数字,在这种情况下他被作为一个UID来对待).所有的注释字符和所有的文本,直到一行的结尾都将被忽略
保留字ALL是ailas中经常导致成功匹配的单位.他能在所有能使用Cmnd_Alias,User_Alias, Runas_Alias, 或Host_Alias的地方使用.你不应该试图定义一个名为ALL的别名,因为aleas中的单位将用作你的个人偏好.请注意,在命令上下文(command context)中使用ALL是非常危险的,他允许用户在系统上运行所有命令.
感叹号("!")能在别名中和Cmnd前用作逻辑非操作符.这允许排除一些特定的值.尽管如此,但请注意,联合ALL别名中的单位使用"!"将允许用户蓄意执行罕见的除了少数以外的所有命令(译注:原文是Note ,however, that using a ! in conjunction with the built in ALL ailas to allow a user to run "all but few" commands rarely works as intended)(参阅下面的"安全要点"一节).
能在一行的末尾使用反斜线("\")来在下一行延续此行,此时这两行将作为完整的一行对待.
列表元素和用户说明中的特别语法字符之间的空格是可选的.
下面的字符作为一个词的一部分(例如,一个用户名或一个主机名)出现时必需使用反斜线("\")来转义:"@","!","=",":", ",", "(", ")", "\".
示例
下面是sudoers条目的示例.显然,一些示例有点不自然.首先,我们定义别名:
# User alias specification
User_Alias FULLTIMERS = millert, mikef, dowdy
User_Alias PARTTIMERS = bostley, jwfox, crawl
User_Alias WEBMASTERS = will, wendy, wim
# Runas alias specification
Runas_Alias OP = root, operator
Runas_Alias DB = oracle, sybase
# Host alias specification
Host_Alias SPARC = bigtime, eclipse, moet, anchor :\
SGI = grolsch, dandelion, black :\
ALPHA = widget, thalamus, foobar :\
HPPA = boa, nag, python
Host_Alias CUNETS = 128.138.0.0/255.255.0.0
Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0
Host_Alias SERVERS = master, mail, www, ns
Host_Alias CDROM = orion, perseus, hercules
# Cmnd alias specification
Cmnd_Alias DUMPS = /usr/bin/mt, /usr/sbin/dump, /usr/sbin/rdump,\
/usr/sbin/restore, /usr/sbin/rrestore
Cmnd_Alias KILL = /usr/bin/kill
Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm
Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown
Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt
Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot
Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \
/usr/local/bin/tcsh, /usr/bin/rsh, \
/usr/local/bin/zsh
Cmnd_Alias SU = /usr/bin/su
接下来我们改写了一些编译进的默认值.我们希望sudo在所有情况下使用auth设施在系统日志中作记录.我们不想总是输出初次使用sudo的提示,并且用户millert使用sudo不必
口令
.另外,我们为SERVERS Host_Alias中的主机维护一个附加的本地日志文件.并且由于这个日志需要保存许多年,我们要在日志的每一行中加入年份信息.
# Override built in defaults
Defaults syslog=auth
Defaults:FULLTIMERS !lecture
Defaults:millert !authenticate
Defaults@SERVERS log_year, logfile=/var/log/sudo.log
实际上决定谁能运行什么的是用户说明部分:
root ALL = (ALL) ALL
%wheel ALL = (ALL) ALL
我们让root和wheel组的成员能在所有主机上以所有人的身份运行所有命令.
FULLTIMERS ALL = NOPASSWD: ALL
专职系统管理员(millert,mikef和dowdy)能在所有主机上执行所有命令而不必进行身份验证.
PARTTIMERS ALL = ALL
兼职系统管理员(bostley,jwfox和crawl)能在所有主机上运行所有命令,但他们首先必须进行身份验证(因为这个条目没有NOPASSWD标签).
jack CSNETS = ALL
用户jack能在CSNETS别名(网络128.138.243.0,128.138.204.0和128.138.242.0)中的机器上运行所有命令.在这些网络中,只有128.138.204.0明确的给出了掩码(用CIDR方式),指明这是个C类网.对CSNETS中的其他网络来说,如果本地主机的掩码匹配的话将使用本地主机的掩码.
lisa CUNETS = ALL
用户lisa能在CUNETS别名(B类网络128.138.0.0)中的所有主机上执行所有命令.
operator ALL = DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT,\
/usr/oper/bin/
用户operator能执行的命令被限制在一个简单的maintenance中.这里就是和备份,杀死进程,打印系统,关闭系统和所有在/usr/oper/bin/中的命令.
joe ALL = /usr/bin/su operator
用户joe只能su成operator.
pete HPPA = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root
用户pete能修改HPPA上除了root以外所有用户的
口令
.注意,这里人为passwd不会在命令行上使用多个用户名.
bob SPARC = (OP) ALL : SGI = (OP) ALL
用户能在SPARC和SGI上以所有在OP Runas_Alias中列出的用户(root和operator)的身份运行所有命令.
jim +biglab = ALL
用户jim能在biglab网络用户组中的机器上运行所有命令.因为biglab前面加上了前缀"+",所以sudo知道这是个网络用户组.
+secretaries ALL = PRINTING, /usr/bin/adduser, /usr/bin/rmuser
网络用户组secretaries中的用户需要帮助管理打印机和进行增删用户的工作,所以需要允许他们在所有机器上执行这些命令.
fred ALL = (DB) NOPASSWD: ALL
用户fred能在DB Runas_Alias (oracle 或 sybase)上以所有人的身份执行所有命令而不必提供
口令
.
john ALPHA = /usr/bin/su [!-]*, !/usr/bin/su *root*
用户john能在ALPHA上su成除root的所有人,不过不允许他给su加上所有标志执行.
jen ALL, !SERVERS = ALL
用户jen能在除了SERVERS Host_Alias (master, mail, www 和 ns)以外的所有机器上执行所有命令.
jill SERVERS = /usr/bin/, !SU, !SHELLS
用户jill能在所有SERVERS Host_Alias中的机器上运行/usr/bin/下除了属于SU和SHELLS Cmnd_Aliases外的所有命令.
steve CSNETS = (operator) /usr/local/op_commands/
用户steve能在所有CSNETS中的机器上执行/usr/local/op_commands/中的所有命令,不过只能以operator的身份.
matt valkyrie = KILL
用户matt应该能在他自己的工作站valkyrie上杀死挂起的进程.
WEBMASTERS www = (www) ALL, (root) /usr/bin/su www
所有在WEBMASTERS User_Alias (will, wendy,和 wim)中的用户都能够在主机www上以www(网页的所有者)的身份执行所有命令,或简单的su成www.
ALL CDROM = NOPASSWD: /sbin/umount /CDROM,\
/sbin/mount -o nosuid\,nodev /dev/cd0a /CDROM
所有的用户都应该能够在 CDROM Host_Alias (orion, perseus, hercules)中的主机上mount和unmount光盘驱动器而不必输入
口令
.对用户来说敲入这么长的命令有些冗长而乏味,所以把他封装在一个shell脚本中是个最佳的选择.
安全要点
使用"!"来从ALL中减去命令一般来说不会产生预期作用.用户能简单的通过把希望执行的命令改名执行的法子来绕过限制.例如:
bill ALL = ALL, !SU, !SHELLS
这并不会阻止bill执行SU和SHELLS中列出的命令.他只需要把这些命令改一个名字,或从一个编辑器或其他程式中escape到shell(译注:原文是use a shell escape from an editor or other program)就能运行了.所以这种类型的限制至少应该经过深思熟虑(并从策略上加强他).
CAVEATS
sudoers必需总是使用visudo命令来编辑,因为他会锁定文件并且进行语法检察.这强制sudoers摆脱语法错误,因为sudoers有语法错误时sudo是不会运行的.
当使用机器的网络用户组时(和用户相反),如果你在网络用户组中存贮了完整的主机名(这经常是事实),你需要让主机名像hostname命令的输出相同是完整的或在sudoers中使用fqdn选项.
文件
/etc/sudoers 谁能作什么的一个列表
/etc/group 本地组文件
/etc/netgroup 网络组文件
参阅
rsh(1), sudo(8), visudo(8), su(1), fnmatch(3).
伯克利发布第三版 1.6.6 sudoers(5)


你可能感兴趣的:(oracle,应用服务器,正则表达式,网络应用,Sybase)