Linux(RHEL5)系统安全常规优化（2）

Linux系统安全优化之使用sudo提升执行权限

1./etc/sudoers配置文件———visudo

sudo命令提供一种机制，只需要预先在/etc/sudoers配置文件中进行授权，即可以允许特定用户以超级用户（或其他普通用户）的身份执行命令，而该用户不需知道root用户的密码（或其他用户）的密码。常见语法格式如下：

user MACHINE=COMMANDS

user： 授权指定用户

MACHINE主机： 授权用户可以在哪些主机上使用

COMMANDS命令：授权用户通过sudo调用的命令，多个命令用 ， 分隔

/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替，格式如下

User_AliasOPERATORS=jerry,tom,tsengyia 
Host_AliasMAILSERVERS=smtp,pop 
Cmnd_AliasSOFTWARE=/bin/rpm,/usr/bin/yum

2.使用sudo执行命令

sudo -l :查看当前用过被授权使用的sudo命令

sudo -k :清除timestamp时间戳标记，再次使用sudo命令时需要重新验证密码

sudo -v :重新更新时间戳（必要时系统会再次询问用户密码）

案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ，授权组内的各个成员用户可以添加、删除、更改用户账号

（1） 建立管理组账户 managers

# groupadd managers

（2） 将管理员账号，如wang加入managers组

# gpasswd -M wang.nan managers

（3） 配置sudo文件，针对managers组开放useradd 、 userdel 等用户管理命令的权限

#visudo 
Cmns_AliasUSERADM=/usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod 
%managerslocalhost=USERADM

（4） 使用wang账号登录，验证是否可以删除他、添加用户

#su-wang 
#whoami 
#sudo-l 
#sudo/usr/sbin/useradduser1 
#sudo/usr/sbin/usermod-p““user1 
#sudo/usr/sbin/userdel-ruser1

Linux系统安全优化中使用sudo提升执行权限的配置就向大家介绍完了，希望大家已经掌握。