苏是英文“s 'witch用户”的缩写,即切换用户之意。
<强>苏苏和指令加上”——“参数的区别:
苏指令不加任何参数,默认切换到根,但没有转到根用户家目录,这时虽然切换为根用户了,但并没有切换到根的登陆环境(壳牌、环境变量),不能获取环境变量.su加上参数”——“是切换到用户根的登陆环境,获取根的环境变量及执行权限(切换到用户的变量)
苏是转换到终极权限根后对权限没有限制行(超自然默认切换到根用户),sudo能把某些终极权限有针对性的下放,并且用户不用知道根密码,执行历程是当前用户切换到根,然后以根身份执行命令,执行完后直接退回当前用户。通过sudo配置文件“/etc/sudoers”进行授权。
sudo能够限制用户只在某台主机上运行某些命令。
sudo提供了丰富的日志,详细记录了每个用户做了什么,能够转到中心主机或日志服务器
sudo使用时间戳来文件来执行类似的“检票”系统。当用户调用sudo并输入它的密码时,用户获得一张存活期为5分钟的票(此值可在编译时指定)
sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用主机。位置/etc/sudoers,它的属性必须为0411。
sudo命令用来以其他身份来执行的命令,预设的身份为根
sudo与苏的不同之处在于sudo仅在需要时授予用户权限,减少了用户因为错误执行损坏系统的可能性,sudo也可以用来以其他用户身份执行命令。此外sudo可以记录用户执行的命令,以及失败的特权获取
<强> sudo的配置文件:
sudo的配置文件是“/etc/sudoers”,不强烈建议直接编辑这个文件,而是通过visudo来编辑,因为使用visudo编辑后保存会进行语法检测,有问题会提示,避免出错。
别名记录在配置文件当中有四种:
Host_Alias
Cmnd_Alias
User_Alias
Runas_Alias
2: sudo的使用方法
首先我们分析一些字段
这句话的意思是说:
用户总裁在邮件这台服务器上可以以用户根的身份运行/usr/sbin/useradd这个命令
添加这一行和所有=/usr/sbin/useradd
4。语法:
sudo (vhl LvkKsHPSb]│[p提示][- c类│-][——auth_type] [- u用户名│# uid]命令
5。参数:
- v
显示版本编号
- h
会显示版本编号及指令的使用方式说明
- l
显示出自己(执行sudo的使用者)的权限
- v
因为sudo在第一次执行时或是在N分钟内没有执行(N预设为五)会问密码,这个参数是重新做一次确认,如果超过N分钟,也会问密码
- k
将会强迫使用者在下一次执行sudo时问密码(不论有没有超过N分钟)
- b
将要执行的指令放在背景执行
- p
提示可以更改问密码的提示语,其中% u会代换为使用者的帐号名称,% h会显示主机名称
- u
用户名/# uid不加此参数,代表要以根的身份执行指令,而加了此参数,可以以用户名的身份执行指令(# uid为该用户名的使用者号码)
- s
执行环境变数中的壳所指定的壳,或是/etc/passwd里所指定的壳
- h
将环境变数中的房子(家目录)指定为要变更身份的使用者家目录(如不加- u参数就是系统管理者根)
命令要以系统管理者身份(或以- u更改为其他人)执行的指令
<强>日志追踪:
2.1。创建sudo。日志文件
触摸/var/log/sudo.log
2./etc/rsyslog.conf配置文件最后面添加一行
local2.debug/var/log/sudo.日志#空白处不能用空格键,必需用tab键
3。/etc/sudoers配置文件最后添加如下
默认日志文件=/var/log/sudo。日志
违约loglinelen=0
违约! syslog
4。重启syslog服务
(root@localhost . ssh) #服务rsyslog重启
或者/etc/init.d/rsyslog重启
5。确定进程
(root@localhost . ssh) # ps辅助| grep rsyslog
6。测试
测试账户使用sudo命令,在根用户查看是否有记录
(root@localhost . ssh) # tail - f/var/log/sudo.log
