[linux下添加用戶到sudo組 并禁止sudo用戶修改密碼]
linux下添加用戶到sudo組
創(chuàng)建用戶 useradd hanli
為新用戶設(shè)置密碼 passwd hanli
創(chuàng)建用戶組 groupadd op
將用戶添加到用戶組 usermod -G op hanli
查看用戶屬于哪個(gè)組 groups hanli
查看用戶組成員 groupmems -g wheel -l (wheel是組名)
查看所有用戶組 cat /etc/group cat /etc/gshadow
查看所有用戶 cat /etc/passwd cat /etc/shadow
給普通用戶添加sudo權(quán)限,并且使用時(shí)不用輸入密碼:
直接鍵入命令visudo(這是Linux提供的修改sudoer的工具,與用vi親自修改配置文件相比级乐,它提示更多的提示信息的糾錯(cuò)能力), 或者vi /etc/sudoers ,添加如下一行
hanli ALL=(ALL) NOPASSWD: ALL
jorge ALL=(root) /usr/bin/find, /bin/rm
上面的第一欄規(guī)定它的適用對(duì)象:用戶或組陵叽,就本例來說,它是用戶jorge丛版。此外巩掺,因?yàn)橄到y(tǒng)中的組和用戶可以重名,要想指定該規(guī)則的適用對(duì)象是組而非用戶的話页畦,組對(duì)象的名稱一定要用百分號(hào)%開頭胖替。第二欄指定該規(guī)則的適用主機(jī)。當(dāng)我們?cè)诙鄠€(gè)系統(tǒng)之間部署sudo環(huán)境時(shí),這一欄格外有用独令,這里的ALL代表所有主機(jī)端朵。但是,對(duì)于桌面系統(tǒng)或不想將sudo部署到多個(gè)系統(tǒng)的情況燃箭,這一欄就換成相應(yīng)的主機(jī)名冲呢。第三欄的值放在括號(hào)內(nèi),指出第一欄規(guī)定的用戶能夠以何種身份來執(zhí)行命令招狸。本例中該值設(shè)為root敬拓,這意味著用戶jorge能夠以root用戶的身份來運(yùn)行后面列出的命令。該值也可以設(shè)成通配符ALL瓢颅,jorge便能作為系統(tǒng)中的任何用戶來執(zhí)行列出的命令了恩尾。最后一欄(即/usr/bin/find,/bin/rm)是使用逗號(hào)分開的命令表弛说,這些命令能被第一欄規(guī)定的用戶以第三欄指出的身份來運(yùn)行它們挽懦。本例中,該配置允許jorge作為超級(jí)用戶運(yùn)行/usr/bin/find和 /bin/rm這兩個(gè)命令木人。如果配置該用戶不能執(zhí)行某些命令信柿,在命令前加”!”即可,需要指出的是醒第,這里列出的命令一定要使用絕對(duì)路徑渔嚷。
如何禁止sudo用戶修改密碼
root新建用戶:
useradd user
passwd user
root 用戶在 sudoers文件中添加:
user ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/bin/chattr,!/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
所有sudo開個(gè)頭的文件或文件夾添加i屬性(不得任意更動(dòng)文件或目錄):
chattr +i /etc/sudo.conf
chattr +i /etc/sudoers
chattr +i /etc/sudoers.d/
chattr +i /etc/sudo-ldap.conf
解鎖文件
chattr -i /etc/sudo.conf
chattr -i /etc/sudoers
chattr -i /etc/sudoers.d/
chattr -i /etc/sudo-ldap.conf
