加载中…
个人资料
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

ubuntu中的用户管理 普通用户 root用户 权限

(2012-09-01 20:30:52)
标签:

it

命令 :sudo alisa

vim .bashrc

ailas=‘sudo env PATH=$PATH’

============================================================================

http://www.lupaworld.com/thread-20567-1-1.html

原文连接: http://www.freesoftwaremagazine.com/articles/users_in_ubuntu

    
正如你注意到的那样,在ubuntu一天天的使用过程中,大多数的任务都被轻易得完成了。但是,当你准备扩展你在ubuntu上的应用,例如,使用新的应用程序,组建一个家庭网络,以及增加一个新的用户的时候,会发生什么情况呢?这个简要的指引文章会与你分享一些技巧,包括创建和管理其他的用户,用其他的小技巧验证一些关键性的区别,以及提供了一些与root用户有关的技巧。也许,最关键的地方在于,这些步骤能够帮助你加强对ubuntu系统的使用,让它不仅仅是作为你的另一台个人桌面电脑而已。

    
第一章,理解ubuntu中的用户
    
    
你的ubuntu系统的安全性和多功能,严重依赖于你是如何给用户分配权限以及对其的使用方法的。与分析那些老套而繁琐的细节相比,理解ubuntu GNU/Linux环境是如何处理用户的原理,也许更为重要。
    
首先,当你安装ubuntu的时候,你会被要求创建一个用户帐号,这个初始用户帐号,会在home的文件目录中存储与其相关的用户文件,这同样适用于那些接下来被创建的用户,但是,对于你创建的第一个用户帐号,存在一些比较特殊的东西。
    
以我自己为例,当我安装ubuntu的时候,我创建了一个“mark”用户帐号。这个mark不仅仅是我的第一个ubuntu的用户,它还自动被授予了特殊的,非常强大的权限,这些权限是其他用户所不具备的。我的mark帐号能够创建用户,改变文件和文件目录,以及在ubuntu上完成一些管理员性质的功能,这些功能通常是用另一个重要的用户帐号“root”来完成的。
    
因此,在ubuntu中,你应该理解以下三个关键的用户:
         *
ubuntu被安装时创建的初始用户,在我这里叫mark
         * root
用户,通常拥有最高权限,因此也被认为是管理员。

         *
其他所有的用户,我指的是那些在安装完毕之后再增加的基本用户
    
上面提到的这三类用户,每一类都有其自己的文件夹,自己的特有权限,以及最重要的,它们在你ubuntu系统中所扮演的特定的角色。在下面的段落中,我将说明,如何去激活并使用它们。让我们从基本用户开始吧。

    
注意:现在,我是假设你以初始用户的身份登陆的ubuntu,因为只有这样,你才会拥有进行下面这些任务所需要的权限。

    
第二章,创建和管理初级用户

    
当你在家中或者办公室安装了ubuntu后,不可避免的,会有别人来恳求你让他们使用这个系统。一些人可能想体验一下系统中默认安装的那些非常cool的应用程序中的一个,但是也有人非常希望看一看,GNU/Linux的力量。换句话说,你需要一个很好的办法,来给他们登入的权限,但是却无法接触那些系统的关键的功能。
    
第一步:通过用户与组的工具。
    
通过用户与用户组工具,你可以很轻易就创建一个基本用户。方法?打开你的主菜单,看见system选项没有?选中,再选择用户与组即可。
    
注意下面这个出现的信息:
111

http://s8/middle/4cd5d2bbgc8a3358e9127&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

 这是一个非常重要的信息,它所表达出来的,就是ubuntu的某种特性。在大多数的GNU/Linux系统中,特权用户通常都是root,而密码也是root所对应的密码。但是在ubuntu中,这个特权用户,就是你创建的初始用户,因此,你必须输入这个用户帐号的密码。
    
一旦你将密码输入,你就将拥有操作所有各种各样的管理员工具的权限。我会在理解超级用户一节中对这方面的原因进行进一步的阐述。
    
第二步:增加一个新的用户
    
你现在应当已经看见用户与组的工具了。现在,请选择右边的增加用户这个按钮,
    
你对包含在什么帐号组的选择,取决于你添加的是什么性质的用户,以及你希望对你的ubuntu进行什么样的操作。如果你只是想添加一个基础用户,以便让其他人也能进入你的ubuntu系统,那么默认的选项就可以满足这个要求。
    
例如,我将添加我的儿子John作为我ubuntu系统的基础用户,这样他就能在我电脑上享受一些非常棒的GNU/Linux游戏。下面就是用户的示例信息,注意,我希望给我儿子既安全又好记忆的帐号,因此我选择了手工设置密码。
    
2:增加一个拥有基本权限的新用户
222

http://s15/middle/4cd5d2bbgc8a336a324ae&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />
在你按下“OK”键之前,请点击顶上的用户权限标签。无论什么时候,当你想创建一个新用户时,这都是一个非常重要的步骤。
    
在这个标签下,你先要注意,默认给基础用户的那些访问权限。也许你希望改变其中的一些,例如监视系统日志,以及连接到网络,诸如此类。任何被勾上的的选项都将被允许让用户使用。还要确信,千万不要吧执行系统管理任务勾上。
    
一旦你对赋予新用户的权限完全满意之后,按下OK按钮。恩,此时,应该返回了用户与组工具的主窗口。现在,向下滚动,知道你看见你新增加的用户。在这里,我增加的是:john。如图三

    
3:成功增加一个用户
333

http://s7/middle/4cd5d2bbgc8a3381fb856&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

最后,在你添加新用户成功完成之后,别忘了再点击一次OK按钮。于是,你创建的帐号以及增加的信息就被保存了,ubuntu也会自动在home目录下创建这个新用户的目录文件。此时,你的新用户就能登陆系统并享受ubuntu GNU/Linux的乐趣了。
    
如果出于某种原因,登陆失败,请参考本文最好的故障处理方法。

    
第三步,进行进一步的改变
    
需要注意的是,只要你愿意,你可以通过选择用户名称并按下属性按钮来改变用户的属性。或者,如果这个用户某一天已经不再有存在的价值了,你可以选择它,并按下删除按钮。
    
如果你某一次决定删除基础用户,你应该知道,这个用户所对应的文件和文件夹是不会被自动清除的,只有用户的登陆权限会被移除。这是非常重要的先进特性,因为它允许你在不丢失任何文件的前提下恢复你所删除的用户。
    
如果你真的希望将用户的文件目录完全移除,你需要提供超级用户命令。这是一个初级ubuntu用户最好不要的步骤,当然,我对此在理解超级用户的部分也有详细的阐述。

    
第三章:创建和管理用户组

    
虽然将像john这样的新用户保持在他或她自己的用户组中没有什么不好,但是,也许你更希望将一个新用户分配到另外的专门的组中。这不仅仅是在管理用户权限上提供了便捷,还提供了共享文件的一种方法,以及其他一些便利等。
    
当然,你并不需要分配每一个新的用户到组中,因为默认这些用户是被分配到他们自己的个人组的。但是,如果你希望分配到自定义的组,那么下面就是一些关键的步骤。

    
第一步:启动用户和组工具。
    
和上面提到的一样,通过你的主菜单访问这个工具。当然,与之前让你修改或者使用用户选项不同的是,这次你应该点击“Grouo”标签。然后往下拉,一直到你看见新的用户为止。需要注意,与用户名有关的组已经被添加了。

    
第二步:增加一个组
    
现在,按下添加组这个按钮。你可以看见下面的这个图:
    4:将用户添加到特定组中

444

http://s2/middle/4cd5d2bbg7a76b8e4b231&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

 请仔细看我的例子,如图4,我创建了一个新的名叫“desktopusers”的组,然后选中了我的新用户john。通过按下中间的添加按钮,我将把john添加到这个组中。而且,你还可以通过按住Ctrl键来选中多个用户,并将他们一起增加到组中,个数不限。只是要确认一下,当你完成选择后别忘记了点击增加按钮。
    
好了,当你对你添加到新组中的多个用户都满意之后,请按下“OK”键。见图5

    
5:成功添加了一个新组
555

http://s5/middle/4cd5d2bbgc8a339e13bc4&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

 现在,把注意力放到用户和组工具的主窗口,新的组已经被增加到了名单的底部。最后,再一次按下OK,保存设置。
    
好了!这就搞定了。将来,如果你要改变特定组中的用户,可以使用完全相同的步骤。唯一一点不同的是,要选择想要改变的组,然后点击属性按键。
    
创建新组,其实是让你添加的新的用户起作用,例如都作为同事或朋友之间的工作组存在,这样,大家可以分享文件,同时管理那些desktopuser有权限管理的文件夹。

    
正如你注意到的那样,在ubuntu一天天的使用过程中,大多数的任务都被轻易得完成了。但是,当你准备扩展你在ubuntu上的应用,例如,使用新的应用程序,组建一个家庭网络,以及增加一个新的用户的时候,会发生什么情况呢?这个简要的指引文章会与你分享一些技巧,包括创建和管理其他的用户,用其他的小技巧验证一些关键性的区别,以及提供了一些与root用户有关的技巧。也许,最关键的地方在于,这些步骤能够帮助你加强对ubuntu系统的使用,让它不仅仅是作为你的另一台个人桌面电脑而已。

    
第一章,理解ubuntu中的用户
    
    
你的ubuntu系统的安全性和多功能,严重依赖于你是如何给用户分配权限以及对其的使用方法的。与分析那些老套而繁琐的细节相比,理解ubuntu GNU/Linux环境是如何处理用户的原理,也许更为重要。
    
首先,当你安装ubuntu的时候,你会被要求创建一个用户帐号,这个初始用户帐号,会在home的文件目录中存储与其相关的用户文件,这同样适用于那些接下来被创建的用户,但是,对于你创建的第一个用户帐号,存在一些比较特殊的东西。
    
以我自己为例,当我安装ubuntu的时候,我创建了一个“mark”用户帐号。这个mark不仅仅是我的第一个ubuntu的用户,它还自动被授予了特殊的,非常强大的权限,这些权限是其他用户所不具备的。我的mark帐号能够创建用户,改变文件和文件目录,以及在ubuntu上完成一些管理员性质的功能,这些功能通常是用另一个重要的用户帐号“root”来完成的。
    
因此,在ubuntu中,你应该理解以下三个关键的用户:
         *
ubuntu被安装时创建的初始用户,在我这里叫mark
         * root
用户,通常拥有最高权限,因此也被认为是管理员。
         *
其他所有的用户,我指的是那些在安装完毕之后再增加的基本用户
    
上面提到的这三类用户,每一类都有其自己的文件夹,自己的特有权限,以及最重要的,它们在你ubuntu系统中所扮演的特定的角色。在下面的段落中,我将说明,如何去激活并使用它们。让我们从基本用户开始吧。

    
注意:现在,我是假设你以初始用户的身份登陆的ubuntu,因为只有这样,你才会拥有进行下面这些任务所需要的权限。

    
第二章,创建和管理初级用户

    
当你在家中或者办公室安装了ubuntu后,不可避免的,会有别人来恳求你让他们使用这个系统。一些人可能想体验一下系统中默认安装的那些非常cool的应用程序中的一个,但是也有人非常希望看一看,GNU/Linux的力量。换句话说,你需要一个很好的办法,来给他们登入的权限,但是却无法接触那些系统的关键的功能。
    
第一步:通过用户与组的工具。
    
通过用户与用户组工具,你可以很轻易就创建一个基本用户。方法?打开你的主菜单,看见system选项没有?选中,再选择用户与组即可。
    
注意下面这个出现的信息:

666

http://s12/middle/4cd5d2bbg7a76b9180eeb&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />
这是一个非常重要的信息,它所表达出来的,就是ubuntu的某种特性。在大多数的GNU/Linux系统中,特权用户通常都是root,而密码也是root所对应的密码。但是在ubuntu中,这个特权用户,就是你创建的初始用户,因此,你必须输入这个用户帐号的密码。
    
一旦你将密码输入,你就将拥有操作所有各种各样的管理员工具的权限。我会在理解超级用户一节中对这方面的原因进行进一步的阐述。
    
第二步:增加一个新的用户
    
你现在应当已经看见用户与组的工具了。现在,请选择右边的增加用户这个按钮,
    
你对包含在什么帐号组的选择,取决于你添加的是什么性质的用户,以及你希望对你的ubuntu进行什么样的操作。如果你只是想添加一个基础用户,以便让其他人也能进入你的ubuntu系统,那么默认的选项就可以满足这个要求。
    
例如,我将添加我的儿子John作为我ubuntu系统的基础用户,这样他就能在我电脑上享受一些非常棒的GNU/Linux游戏。下面就是用户的示例信息,注意,我希望给我儿子既安全又好记忆的帐号,因此我选择了手工设置密码。
    
2:增加一个拥有基本权限的新用户
777

http://s9/middle/4cd5d2bbgc8a33bed7bc8&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

 在你按下“OK”键之前,请点击顶上的用户权限标签。无论什么时候,当你想创建一个新用户时,这都是一个非常重要的步骤。
    
在这个标签下,你先要注意,默认给基础用户的那些访问权限。也许你希望改变其中的一些,例如监视系统日志,以及连接到网络,诸如此类。任何被勾上的的选项都将被允许让用户使用。还要确信,千万不要吧执行系统管理任务勾上。
    
一旦你对赋予新用户的权限完全满意之后,按下OK按钮。恩,此时,应该返回了用户与组工具的主窗口。现在,向下滚动,知道你看见你新增加的用户。在这里,我增加的是:john。如图三

    
3:成功增加一个用户
888

http://s1/middle/4cd5d2bbgc8a33cd1c4c0&690普通用户 root用户 权限" TITLE="ubuntu中的用户管理 普通用户 root用户 权限" />

 最后,在你添加新用户成功完成之后,别忘了再点击一次OK按钮。于是,你创建的帐号以及增加的信息就被保存了,ubuntu也会自动在home目录下创建这个新用户的目录文件。此时,你的新用户就能登陆系统并享受ubuntu GNU/Linux的乐趣了。
    
如果出于某种原因,登陆失败,请参考本文最好的故障处理方法。

    
第三步,进行进一步的改变
    
需要注意的是,只要你愿意,你可以通过选择用户名称并按下属性按钮来改变用户的属性。或者,如果这个用户某一天已经不再有存在的价值了,你可以选择它,并按下删除按钮。
    
如果你某一次决定删除基础用户,你应该知道,这个用户所对应的文件和文件夹是不会被自动清除的,只有用户的登陆权限会被移除。这是非常重要的先进特性,因为它允许你在不丢失任何文件的前提下恢复你所删除的用户。
    
如果你真的希望将用户的文件目录完全移除,你需要提供超级用户命令。这是一个初级ubuntu用户最好不要的步骤,当然,我对此在理解超级用户的部分也有详细的阐述。

    
第四章:理解超级用户
    
刚才,我简要提到了在ubuntu中,有三类关键用户。这一章将向你讲述,为什么会存在特定的属性,以及root用户和初始用户帐户之间的关键区别。
    
想必你已经注意到了,为了实施上面那些步骤中的任何一个,你都需要以初始用户的身份登陆,也就是你在安装过程中创建的第一个帐户。这个用户被自动分配了超级用户的操作权限(同时也被称为sudo)。通过超级用户帐号,你可以进行系统级别的管理与修改。
    
GNU/Linux中,功能最为强大的超级用户是root。当然,你可能已经发现了,root帐号并没有被自动包含到ubuntu的安装细节中。在默认情况下,root帐户并未被激活来供你使用。在那些你必须使用超级用户权限的地方, ubuntu允许你使用初始用户与sudo的接合来完成这样的任务。例如,如果你想删除home目录下一个基本用户的文件目录,你可以在终端下使用下面的命令:

         cd /home
         sudo delete john

    
你需要提供你的初始用户密码来执行sudo命令。这就防止了你不得不使用root来进行一些系统的初级管理,同时完全允许另一个帐户来充当超级用户,也保护了你系统的安全方面的缺陷。
    
那么,root到底是怎么回事呢?
    
为了避免直接使用,ubuntu在某种程度上隐藏了root帐号,除非你确实不得不需要的时候。作为替代,几乎所有的管理所需要的权限都赋予给了你的初始用户帐号。
    
但是,当你对你的ubuntu系统进行一些关键的修改或增强时,那些例子是怎么回事?我必须指出,这些并不是一个初级用户应该关心的。但是,如果你正出于和我类似的处境,例如试图向你的ubuntu中添加一些重要性类似于LTSPLTSPLinux Terminal Server Project 的缩写. 安装的目的是为了提供多个工作站环境使用的伺服器,也就是常说的瘦客户端)的东西,此时,你可能就需要求助于root了。
    
再一次的,在你决定激活root帐户之前,我希望表达我的观点,就是你不应当在日常的管理中使用root,而且,如果你只是一个ubuntu系统的新手,读过一些说你需要以root用户身份登陆的文档,那么最好不要依照下面这些步骤操作。
    
好了,如果你一直读到了这里,那么你将不再需要任何所谓的简单的答案。想在ubuntu中激活root用户,你只需要按照第一章的那些步骤照着执行就可以了。但是,你需要选择root用户帐号并查看其属性标签,在那里,你可以手工设置root密码,并连续两次按OK来保存你的改变。我还想提醒一下,不要称为日常的root帐号用户,以及在需要的时候最好依赖与初始帐号和sudo

    
第五章:一些问题的解决
    
对我来说,我很少在创建和管理用户的时候遇到问题。但是,也有一些东西是你可能需要记住的。

    1
登陆错误。
    
如故你按照上面讲述的步骤添加了一个新的用户,但是遇到了某种奇怪的错误,那么也许是你在用户属性的选择上出了点问题。也许你遇到的问题包括在下面这些例子中:$HOME/.dmrc的配置有问题 ,或者 HOME/user目录根本就不存在,那么默认的目录会临时变成/root
    
在这两种情况中,错误都是因为新用户的目录没有被合适地配置或者创建所引起的。要解决这样的问题是非常简单的,仅仅是将这个用户删除,然后按照上面的步骤重新来一遍。但是这一次,在添加用户的时候,点击高级标签,保证家目录那一行显示的是:/HOME/$user
    
显然,这特指一个新用户的初始创建过程。
    2
改变无法保存。
    
我遇到这种问题的次数比你想象的也许要多得多,看起来,一些时候,人们对上面这些步骤中的按下OK按键有一些搞不明白。你不仅仅需要在特定的属性窗口中按下OK按键,还要在用户与组的主窗口中再按一次,这样就可以正常保存了。

    
第六章:总结
    
现在,你已经知道了在ubuntu上创建和管理多重用户的所有步骤。更重要的是,在你需要运行一个命令或执行一个需要root权限操作的时候,你能够明白你在做什么。通过这些步骤的讲解,你就能够在保证安全性和稳定性的情况下与其它人分享你ubuntu系统的强大与乐趣!


====================================================================

Ubuntu获得超级用户权限
       
有一个与众不同的特点,那就是初次使用时,你无法作为root来登录系统,为什么会这样?这就要从系统的安装说起。对于其他Linux系统来说,一般在安装过程就设定root密码,这样用户就能用它登录root帐户或使用su命令转换到超级用户身份。与之相反,Ubuntu默认安装时,并没有给root用户设置口令,也没有启用root帐户。问题是要想作为root用户来运行命令该怎么办呢?没关系,我们可以使用sudo命令达此目的。
  sudolinux下常用的允许普通用户使用超级用户权限的工具,该命令为管理员提供了一种细颗粒度的访问控制方法,通过它人们既可以作为超级用户又可以作为其它类型的用户来访问系统。这样做的好处是,管理员能够在不告诉用户root密码的前提下,授予他们某些特定类型的超级用户权限,这正是许多系统管理员所梦寐以求的。
  1.sudo的缺省配置
  默认时,Ubuntusudo提供了一个基本的配置,该配置保存在/etc目录下的sudoers文件中。在修改该配置文件时,务必使用visudo工具来进行编辑,因为该工具会自动对配置语法进行严格检查,如果发现错误,在保存退出时给出警告,并提示你哪段配置出错,从而确保该配置文件的正确性。相反,如果使用其它的文本编辑程序的话,一旦出错,就会给系统带来严重的后果。下面给出的是Ubuntu默认的/etc/sudoers文件内容:
User privilege specification
root ALL=(ALL) ALL
Members of the admin group may gain root privileges
�min ALL=(ALL) ALL
  下面对以上配置做简要说明:
  第一项配置的作用,是允许root用户使用sudo命令变成系统中任何其它类型的用户。

第二个配置规定,管理组中的所有成员都能以root的身份执行所有命令。因此,在默认安装的Ubuntu系统中,要想作为root身份来执行命令的话,只要在sudo后面跟上欲执行的命令即可。下面用一个例子加以说明,如果您想执行apt-get update的话,应当在命令行中键入以下内容:
sudo apt-get update
  2.配置文件语法详解
  接下来,我们用一个实例来详细解释/etc/sudoers文件的配置语法,请看下面的例子:
jorge ALL=(root) /usr/bin/find, /bin/rm
  上面的第一栏规定它的适用对象:用户或组,就本例来说,它是用户jorge。此外,因为系统中的组和用户可以重名,要想指定该规则的适用对象是组而非用户的话,组对象的名称一定要用百分号%开头。
  第二栏指定该规则的适用主机。当我们在多个系统之间部署sudo环境时,这一栏格外有用,这里的ALL代表所有主机。但是,对于桌面系统或不想将sudo部署到多个系统的情况,这一栏就换成相应的主机名。
  第三栏的值放在括号内,指出第一栏规定的用户能够以何种身份来执行命令。本例中该值设为root,这意味着用户jorge能够以root用户的身份来运行后面列出的命令。该值也可以设成通配符ALLjorge便能作为系统中的任何用户来执行列出的命令了。
  最后一栏(即/usr/bin/find,/bin/rm)是使用逗号分开的命令表,这些命令能被第一栏规定的用户以第三栏指出的身份来运行它们。本例中,该配置允许jorge作为超级用户运行/usr/bin/find /bin/rm这两个命令。需要指出的是,这里列出的命令一定要使用绝对路径。
  3.sudo命令的使用方法
  现在的问题是,用户jorge怎样利用分配给他的权限呢?其实很简单,只要在命令行模式下使用sudo命令。
  加上他想运行的程序就可以了,比如:
    sudo find -name '*.avi' -exec rm -f //{//} //;

倘若jorge企图执行/etc/sudoers文件规定之外的程序(比如findrm)的话,sudo命令便会以失败而告终,并给出警告信息,指出他无权以超级用户身份来运行这些命令。
  要想以非root用户身份来运行命令,必须使用-u选项来指定想要作为的用户;否则的话,sudo会默认为root用户,比如要想以fred身份来执行ls命令,就应该这样:
sudo -u fred ls /home/fred

就像您看到的那样,我们可以利用这些规则为系统创建具体的角色。例如,要让一个组负责帐户管理,你一方面不想让这些用户具备完全的root访问权限,另一方面还得让他们具有增加和删除用户的权利,那么我们可以在系统上创建一个名为accounts的组,然后把那些用户添加到这个组里。之后,再使用visudo/etc/sudoers添加下列内容:
�counts ALL=(root) /usr/sbin/useradd, /usr/sbin/userdel,/usr/sbin/usermod

现在好了,accounts组中的任何成员都能运行useradduserdelusermod命令了。如果过一段时间后,您发现该角色还需要其他工具,只要在该表的尾部将其添上就行了。这样真是方便极了!
  需要注意的是,当我们为用户定义可以运行的命令时,必须使用完整的命令路径。这样做是完全出于安全的考虑,如果我们给出的命令只是简单的userad而非/usr/sbin/useradd,那么用户有可能创建一个他自己的脚本,也叫做userad,然后放在它的本地路径中,如此一来他就能够通过这个名为useradd的本地脚本,作为root来执行任何他想要的命令了。这是相当危险的!
  sudo命令的另一个便捷的功能,是它能够指出哪些命令在执行时不需要输入密码。这很有用,尤其是在非交互式脚本中以超级用户的身份来运行某些命令的时候。例如,想要让用户作为超级用户不必输入密码就能执行kill命令,以便用户能立刻杀死一个失控的进程。为此,在命令行前边加上NOPASSWD:属性即可。例如,可以在/etc/sudoers文件中加上下面一行,从而让jorge获得这种权力:
jorge ALL=(root) NOPASSWD: /bin/kill, /usr/bin/killall
  这样一来,jorge就能运行以下命令,作为root用户来杀死失控的rm进程了。
sudo killall rm
  6.如何启用root帐户
  通过以上介绍,我们发现sudo的确很好用,但是如果您早就习惯了在root下工作,想回味一下过去的感觉该怎么办呢?很简单,只要为root设置一个root密码就行了:
sudo passwd root

好了,现在您能直接作为root登录了。

 

========================================================================

http://blog.sina.com.cn/s/blog_731b2f5b010100pz.html

方法一:
直接修改/etc/passwd的uid和gid,将用户ID和组ID都改成0。(恶心的方法,还不如直接用su切换到root执行呐)
方法二:
用sudo可以是普通用户暂时获得root的权限执行某个命令。这样就可一不知道超级用户密码而拥有权限执行命令。但是用户必须在/etc/sudoers用户列表中,否则就会出现permission denied,可以用visudo命令来添加用户。

一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将一般用户登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在/etc /sudoers自定义),使用sudo不需要再次输入密码。

我们可以通过visudo命令来编辑/etc/sudoers文件,visudo是一个脚本文件,也可以通过编辑工具来对/etc/sudoers进行修改(注意:系统默认下/etc/sudoers是没有修改权限,需要通过chmod来对它增加权限)

root@localhost ~]# ll /usr/sbin/visudo
-rwxr-xr-x root root 81832 Apr 14 2009 /usr/sbin/visudo
———————————————————-
[root@localhost ~]# ll /etc/sudoers
-r–r—– root root 3202 May 10 02:19 /etc/sudoers

grep -v ^$ /etc/sudoers grep -v ^##过滤空行和##号开头

查看sudoers配置文件中的重要代码

[root@localhost ~]# cat sudoers.txt
============定义服务器=================
格式:Host_Alias 服务器类型 服务器名称或IP地址
例:多个服务器或IP需要用(,)逗号隔开
Host_Alias CLIENT 192.168.100.0, 192.168.200.0/24
Host_Alias FILESERVERS fs1, fs2
——————————————
Host_Alias FILESERVERS fs1, fs2
Host_Alias MAILSERVERS smtp, smtp2
============用户定义==============
格式:User_Alias 大写名称 用户[, 用户]
注意,名称需要大写,多用户需要用(,)逗号隔开
——————————————
User_Alias ADMINS jsmith, mikem
===========定义命令和命令地路径==============
格式:Cmnd_Alias 统称=绝对路径/命令
可以把相同功能的命令保存到一个自定义的统称,方便分配
多个命令需要用(,)逗号隔开
————————————————–
Cmnd_Alias NETWORKING /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
Cmnd_Alias SOFTWARE /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES /sbin/service, /sbin/chkconfig
=============定义默认值=============
注意:Defaults –> 全局设置
Defaults:用户 –> 针对指定用户起效,多个用户需要用(,)逗号隔开
——————————————
Defaults requiretty
Defaults env_reset  

==========指定用户权限分配==========
格式:user MACHINE (RunAs) COMMANDS
——————————————
root ALL=(ALL) ALL
===============组成员权限分配===============
格式:%group-name MACHINE (RunAs) COMMANDS 
%group-name MACHINE COMMANDS
注意:NOPASSWD: COMMANDS 在使用命令时不需要输入密码
这些群都必须在系统中存在的

—————————————————-
%sys ALL NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

sys组可以在全部计算机上以ROOT用户身份运行多个统称下包括的命令,调用Cmnd_Alias的设置
—————————————————-

%wheel ALL=(ALL) ALL

whell组可以在全部计算机上以ROOT用户的身份,执行全部命令,但需要输入密码
—————————————————————————————–
%wheel ALL=(ALL) NOPASSWD: ALL

whell组可以在全部计算机上以ROOT用户的身份,执行全部命令,但不需要输入密码
—————————————————————————————–
%users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
%users localhost=/sbin/shutdown -h now

users组只能在本身上运行/sbin/shutdown -h now
—————————————————————————————–

技巧:

1) 注意大小写

2)在绝对路径前加(!)感叹号,代表该命令不可用   !/sbin/mount

3) RunAS 代表转换的身份

%group-name MACHINE (RunAs) COMMANDS

%group-name MACHINE COMMANDS 当没有(RunAs)时,系统默认以ROOT用户的身份来执行

4)用户是没有(%)百分号,组是有(%)百分号

5) 可以通过sudo -l 参数查看自己的权限


========================================================================

http://blog.sina.com.cn/s/blog_68c058f90100v446.html

 

su,sudo,visudo

原文地址忘记了.....

 

通过su能够在用户之间转换,假如终极权限用户root向普通或虚拟用户转换无需密码,什么是权力?这就是!而普通用户转换到其他任何用户都需要密码验证;

2、su 的用法:

su [OPTION选项参数] [用户]

-, -l, --login 登录并改变到所转换的用户环境;

-c, --commmand=COMMAND 执行一个命令,然后退出所转换到的用户环境;

至于更周详的,请参看man su

su 加参数 - ,表示默认转换到root用户,并且改变到root用户的环境;

su 的内容不爱写到这边

2、从编写 sudo 配置文档/etc/sudoers开始

sudo的配置文档是/etc/sudoers ,我们能够用他的专用编辑工具visodu ,此工具的好处是在添加规则不太准确时,保存退出时会提示给我们错误信息;配置好后,能够用转换到您授权的用户下,通过sudo -l 来查看哪些命令是能够执行或禁止的;

/etc/sudoers 文档中每行算一个规则,前面带有#号能够当作是说明的内容,并不执行;

假如规则很长,一行列不下时,能够用\号来续行,这样看来一个规则也能够拥有多个行;

/etc/sudoers 的规则可分为两类;一类是别名定义,另一类是授权规则;别名定义并不是必须的,但授权规则是必须的;

3、/etc/sudoers 配置文档中
别名规则   ###   别名这一块挺方便的,认真看一下还是比较好的!

别名规则定义格式如下:

Alias_Type NAME = item1, item2, ...



Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

别名类型(Alias_Type):别名类型包括如下四种

Host_Alias 定义主机别名;

User_Alias 用户别名,别名成员能够是用户,用户组(前面要加%号)

Runas_Alias 用来定义runas别名,这个别名指定的是“目的用户”,即sudo 允许转换至的用户;

Cmnd_Alias 定义命令别名;

NAME 就是别名了,NMAE的命名是包含大写字母、下划线连同数字,但必须以一个大写字母开头,比如SYNADM、SYN_ADM或SYNAD0是合法的,sYNAMDA或1SYNAD是不合法的;

item 按中文翻译是项目,在这里我们能够译成成员,假如一个别名下有多个成员,成员和成员之间,通过半角,号分隔;成员在必须是有效并事实存在的。什么是有效的呢?比如主机名,能够通过w查看用户的主机名(或ip地址),假如您只是本地机操作,只通过hostname 命令就能查看;用户名当然是在系统中存在的,在/etc/paswd中必须存在;对于定义命令别名,成员也必须在系统中事实存在的文档名(需要绝对路径);

item成员受别名类型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias 制约,定义什么类型的别名,就要有什么类型的成员相配。我们用Host_Alias定义主机别名时,成员必须是和主机相关相关联,比如是主机名(包括远程登录的主机名)、ip地址(单个或整段)、掩码等;当用户登录时,能够通过w命令来查看登录用户主机信息;用User_Alias和 Runas_Alias定义时,必须要用系统用户做为成员;用Cmnd_Alias 定义执行命令的别名时,必须是系统存在的文档,文档名能够用通配符表示,配置Cmnd_Alias时命令需要绝对路径;其中 Runas_Alias 和User_Alias 有点相似,但和User_Alias 绝对不是同一个概念,Runas_Alias 定义的是某个系统用户能够sudo 转换身份到Runas_Alias 下的成员;我们在授权规则中以实例进行解说;别名规则是每行算一个规则,假如一个别名规则一行容不下时,能够通过\来续行;同一类型别名的定义,一次也能够定义几个别名,他们中间用:号分隔,

Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24 注:定义主机别名HT01,通过=号列出成员

Host_Alias HT02=st09,st10 注:主机别名HT02,有两个成员;

Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,st10 注:上面的两条对主机的定义,能够通过一条来实现,别名之间用:号分割;

注:我们通过Host_Alias 定义主机别名时,项目能够是主机名、能够是单个ip(整段ip地址也能够),也能够是网络掩码;假如是主机名,必须是多台机器的网络中,而且这些机器得能通过主机名相互通信访问才有效。那什么才算是通过主机名相互通信或访问呢?比如 ping 主机名,或通过远程访问主机名来访问。在我们局域网中,假如让电脑通过主机名访问通信,必须配置/etc/hosts, /etc/resolv.conf ,还要有DNS做解析,否则相互之间无法通过主机名访问;在配置主机别名时,假如项目是中某个项目是主机名的话,能够通过hostname 命令来查看本地主机的主机名,通过w命令查来看登录主机是来源,通过来源来确认其他客户机的主机名或ip地址;对于主机别名的定义,看上去有点复杂,其实是很简单。

假如您不明白Host_Alias 是怎么回事,也能够不用配置主机别名,在定义授权规则时通过ALL来匹配任何可能出现的主机情况。假如您把主机方面的知识弄的更明白,的确需要多多学习。

User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注:定义用户别名,下有四个成员;要在系统中确实在存在的;

User_Alias NETAD=beinan,bnnb 注:定义用户别名NETAD ,我想让这个别名下的用户来管理网络,所以取了NETAD的别名;

User_Alias WEBMASTER=linuxsir 注:定义用户别名WEBMASTER,我想用这个别名下的用户来管理网站;

User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir 注:上面三行的别名定义,能够通过这一行来实现,请看前面的说明,是不是符合?

Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown,/bin/chmod

###  adduser  原来也是  useradd  我傻了 
注意:命令别名下的成员必须是文档或目录的绝对路径;

Cmnd_Alias DISKMAG=/sbin/fdisk,/sbin/partedCmnd_Alias NETMAG=/sbin/ifconfig,/etc/init.d/networkCmnd_Alias KILL = /usr/bin/killCmnd_Alias PWMAG = /usr/sbin/reboot,/usr/sbin/haltCmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ /usr/local/bin/tcsh, /usr/bin/rsh, \ /usr/local/bin/zsh

注:这行定义命令别名有点长,能够通过 \ 号断行

Cmnd_Alias SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin

在上面的例子中,有KILL和PWMAG的命令别名定义,我们能够合并为一行来写,也就是等价行;

Cmnd_Alias KILL = /usr/bin/kill:PWMAG = /usr/sbin/reboot,/usr/sbin/halt 注:这一行就代表了KILL和PWMAG命令别名,把KILL和PWMAG的别名定义合并在一行写也是能够的;

Runas_Alias OP = root, operator

Runas_Alias DBADM=mysql:OP = root, operator 注:这行是上面两行的等价行;至于怎么理解Runas_Alias ,我们必须得通过授权规则的实例来理解;

4、/etc/sudoers中的授权规则

授权规则是分配权限的执行规则,我们前面所讲到的定义别名主要是为了更方便的授权引用别名;假如系统中只有几个用户,其实下放权限比较有限的话,能够不用定义别名,而是针对系统用户直接直接授权,所以在授权规则中别名并不是必须的;

授权规则并不是无章可寻,我们只说基础一点的,比较简单的写法,假如您想周详了解授权规则写法的,请参看man sudoers

授权用户主机=命令动作

这三个要素缺一不可,但在动作之前也能够指定转换到特定用户下,在这里指定转换的用户要用( )号括起来,假如无需密码直接运行命令的,应该加NOPASSWD:参数,但这些能够省略;举例说明;

实例一:

beinan ALL=/bin/chown,/bin/chmod

假如我们在/etc/sudoers 中添加这一行,表示beinan 能够在任何可能出现的主机名的系统中,能够转换到root用户下执行 /bin/chown 和/bin/chmod 命令,通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令;

值得注意的是,在这里省略了指定转换到哪个用户下执行/bin/shown 和/bin/chmod命令;在省略的情况下默认为是转换到root用户下执行;同时也省略了是不是需要beinan用户输入验证密码,假如省略了,默认为是需要验证密码。

为了更周详的说明这些,我们能够构造一个更复杂一点的公式;

授权用户 主机=[(转换到哪些用户或用户组)] [是否需要密码验证] 命令1,[(转换到哪些用户或用户组)] [是否需要密码验证] [命令2],[(转换到哪些用户或用户组)] [是否需要密码验证] [命令3]....

注解:

凡是[ ]中的内容,是能够省略;命令和命令之间用,号分隔;通过本文的例子,能够对照着看哪些是省略了,哪些地方需要有空格;

在[(转换到哪些用户或用户组)] ,假如省略,则默认为root用户;假如是ALL ,则代表能转换到任何用户;注意要转换到的目的用户必须用()号括起来,比如(ALL)、(beinan)

实例二:

beinan ALL=(root) /bin/chown, /bin/chmod

假如我们把第一个实例中的那行去掉,换成这行;表示的是beinan 能够在任何可能出现的主机名的主机中,能够转换到root下执行 /bin/chown ,能够转换到任何用户招执行/bin/chmod 命令,通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令;

实例三:

beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod

假如换成这个例子呢?表示的是beinan 能够在任何可能出现的主机名的主机中,能够转换到root下执行 /bin/chown ,无需输入beinan用户的密码;并且能够转换到任何用户下执行/bin/chmod 命令,但执行chmod时需要beinan输入自己的密码;通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令;

关于一个命令动作是不是需要密码,我们能够发现在系统在默认的情况下是需要用户密码的,除非特加指出无需用户需要输入自己密码,所以要在执行动作之前加入NOPASSWD: 参数;

有可能有的弟兄对系统管理的命令不太懂,不知道其用法,这样就影响了他对 sudoers定义的理解,下面我们再举一个最简单,最有说服力的例子;

实例四:

比如我们想用beinan普通用户通过more /etc/shadow文档的内容时,可能会出现下面的情况;

[beinan@localhost ~] $ more /etc/shadow/etc/shadow: 权限不够

这时我们能够用sudo more /etc/shadow 来读取文档的内容;就就需要在/etc/soduers中给beinan授权

于是我们就能够先su 到root用户下通过visudo 来改/etc/sudoers ;(比如我们是以beinan用户登录系统的)

[beinan@localhost ~] $ su

Password: 注:在这里输入root密码

下面运行visodu;

[root@localhost beinan]# visudo 注:运行visudo 来改 /etc/sudoers

加入如下一行,退出保存;退出保存,在这里要会用vi,visudo也是用的vi编辑器;至于vi的用法不多说了;
beinan ALL=/bin/more 表示beinan能够转换到root下执行more 来查看文档;

退回到beinan用户下,用exit命令;

[root@localhost beinan]# exit

exit

[beinan@localhost ~] $

查看beinan的通过sudo能执行哪些命令?

[beinan@localhost ~] $ sudo -l

Password: 注:在这里输入beinan用户的密码

User beinan may run the following commands on this host: 注:在这里清楚的说明在本台主机上,beinan用户能够以root权限运行more ;在root权限下的more ,能够查看任何文本文档的内容的;

(root) /bin/more

最后,我们看看是不是beinan用户有能力看到/etc/shadow文档的内容;

[beinan@localhost ~] $ sudo more /etc/shadow

beinan 不但能看到 /etc/shadow文档的内容,还能看到只有root权限下才能看到的其他文档的内容,比如;

[beinan@localhost ~] $ sudo more /etc/gshadow

对于beinan用户查看和读取任何系统文档中,我只想把/etc/shadow 的内容能够让他查看;能够加入下面的一行;

beinan ALL=/bin/more /etc/shadow

题外话:有的弟兄会说,我通过su 转换到root用户就能看到任何想看的内容了,哈哈,对啊。但咱们现在不是在讲述sudo的用法吗?假如主机上有多个用户并且不知道root用户的密码,但又想查看某些他们看不到的文档,这时就需要管理员授权了;这就是sudo的好处;

实例五:练习用户组在/etc/sudoers中写法;

假如用户组出现在/etc/sudoers 中,前面要加%号,比如�inan ,中间不能有空格

�inan  ALL=/usr/sbin/*,/sbin/*

假如我们在 /etc/sudoers 中加上如上一行,表示beinan用户组下的任何成员,在任何可能的出现的主机名下,都能转换到root用户下运行 /usr/sbin和/sbin目录下的任何命令;

实例六:练习取消某类程式的执行:

取消程式某类程式的执行,要在命令动作前面加上!号; 在本例中也出现了通配符的*的用法;

beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注:把这行规则加入到/etc/sudoers中;但您得有beinan这个用户组,并且beinan也是这个组中的才行;

本规则表示beinan用户在任何可能存在的主机名的主机上运行/usr/sbin和/sbin下任何的程式,但fdisk 程式除外;

[beinan@localhost ~] $ sudo -l

Password: 注:在这里输入beinan用户的密码;

User beinan may run the following commands on this host:(root) /usr/sbin/*(root) /sbin/*(root) !/sbin/fdisk[beinan@localhost ~] $ sudo /sbin/fdisk -lSorry, user beinan is not allowed to execute '/sbin/fdisk -l' as root on localhost.

注:不能转换到root用户下运行fdisk 程式;

实例七:别名的运用实践;

假如我们就一台主机localhost,能通过hostname 来查看,我们在这里就不定义主机别名了,用ALL来匹配任何可能出现的主机名;并且有beinan、linuxsir、lanhaitun 用户;主要是通过小例子能更好理解;sudo虽然简单好用,但能把说的明白的确是件难事;最好的办法是多看例子和man soduers ;

User_Alias SYSADER=beinan,linuxsir,�inan

User_Alias DISKADER=lanhaitun

Runas_Alias OP=root

Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk

 

注:定义命令别名DSKCMD,下有成员parted和fdisk ;
   
SYSADER ALL= SYDCMD,DSKCMDDISKADER     ALL=(OP) DSKCMD

注解:

第一行:定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员,用户组前面必须加%号;

第二行:定义用户别名 DISKADER ,成员有lanhaitun

第三行:定义Runas用户,也就是目标用户的别名为OP,下有成员root

第四行:定义SYSCMD命令别名,成员之间用,号分隔,最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码;

第五行:定义命令别名DSKCMD,下有成员parted和fdisk ;

第六行:表示授权SYSADER下的任何成员,在任何可能存在的主机名的主机下运行或禁止 SYDCMD和DSKCMD下定义的命令。更为明确遥说,beinan、linuxsir和beinan用户组下的成员能以root身份运行 chown 、chmod 、adduser、passwd,但不能更改root的密码;也能够以root身份运行 parted和fdisk ,本条规则的等价规则是;

beinan,linuxsir,�inan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

第七行:表示授权DISKADER 下的任何成员,能以OP的身份,来运行 DSKCMD ,无需密码;更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令;其等价规则是:

lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk

可能有的弟兄会说我想不输入用户的密码就能转换到root并运行SYDCMD和DSKCMD 下的命令,那应该把把NOPASSWD:加在哪里为好?理解下面的例子吧,能明白的;

SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

5、/etc/sudoers中其他的未尽事项;

在授权规则中,更有 NOEXEC:和EXEC的用法,自己查man sudoers 了解;更有关于在规则中通配符的用法,也是需要了解的。这些内容不多说了,毕竟只是个入门性的文档。soduers配置文档要多简单就有多简单,要多难就有多难,就看自己的应用了。

6、sudo的用法;

我们在前面讲的/etc/sudoers 的规则写法,最终的目的是让用户通过sudo读取配置文档中的规则来实现匹配和授权,以便替换身份来进行命令操作,进而完成在其权限下不可完成的任务;

我们只说最简单的用法;更为周详的请参考man sudo

sudo [参数选项] 命令

-l 列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;

-v 验证用户的时间戳;假如用户运行sudo 后,输入用户的密码后,在短时间内能够不用输入口令来直接进行sudo 操作;用-v 能够跟踪最新的时间戳;

-u 指定以以某个用户执行特定操作;

-k 删除时间戳,下一个sudo 命令需要用求提供密码;

举列:

首先我们通过visudo 来改/etc/sudoers 文档,加入下面一行;

beinan,linuxsir,�inan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

然后列出beinan用户在主机上通过sudo 能够转换用户所能用的命令或被禁止用的命令;

[beinan@localhost ~] $ sudo -l 注:列出用户在主机上能通过转换用户的可用的或被禁止的命令;

Password: 注:在这里输入您的用户密码;

User beinan may run the following commands on this host:

(root) /bin/chown 注:能够转换到root下用chown命令;

(root) /bin/chmod 注:能够转换到root下用chmod命令;

(root) /usr/sbin/adduser 注:能够转换到root下用adduser命令;

(root) /usr/bin/passwd [A-Za-z]* 注:能够转换到root下用 passwd 命令;

(root) !/usr/bin/passwd root 注:能够转换到root下,但不能执行passwd root 来更改root密码;

(root) /sbin/parted 注:能够转换到 root下执行parted ;

(root) /sbin/fdisk 注:能够转换到root下执行 fdisk ;

通过上面的sudo -l 列出可用命令后,我想通过chown 命令来改变/opt目录的属主为beinan ;

[beinan@localhost ~] $ ls -ld /opt 注:查看/opt的属主;

drwxr-xr-x 26 root root 4096 10月 27 10:09 /opt 注:得到的答案是归属root用户和root用户组;

[beinan@localhost ~] $ sudo chown beinan:beinan /opt 注:通过chown 来改变属主为beinan用户和beinan用户组;

[beinan@localhost ~] $ ls -ld /opt 注:查看/opt属主是不是已改变了;

drwxr-xr-x 26 beinan beinan 4096 10月 27 10:09 /opt

我们通过上面的例子发现beinan用户能转换到root后执行改变用户口令的passwd命令;但上面的sudo -l 输出又明文写着不能更改root的口令;也就是说除了root的口令,beinan用户不能更改外,其他用户的口令都能更改。下面我们来测试;

对于一个普通用户来说,除了更改自身的口令以外,他不能更改其他用户的口令。但假如换到root身份执行命令,则能够更改其他用户的口令;

比如在系统中有linuxsir这个用户, 我们想尝试更改这个用户的口令,

[beinan@localhost ~] $ passwd linuxsir 注:不通过sudo 直接运行passwd 来更改linuxsir用户的口令;

passwd: Only root can specify a user name. 注:失败,提示仅能通过 root来更改;

[beinan@localhost ~] $ sudo passwd linuxsir 注:我们通过/etc/sudoers 的定义,让beinan转换到root下执行 passwd 命令来改变linuxsir的口令;

Changing password for user linuxsir.

New Unix password: 注:输入新口令;

Retype new UNIX password: 注:再输入一次;

passwd: all authentication tokens updated successfully. 注:改变成功。

 

注意:

http://blog.sina.com.cn/s/blog_4cd5d2bb01018gxw.html

�= 三个连了起来的% A D三个字符

不知道在这里是不是?

 



 

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有