su 命令在用户身份切换时,需要拿到 root 管理员密码;在多人协作时,如果当中某个用户不小心泄露了 root 密码; 那系统会变得非常不安全,为了改进这个问题,从而就有了 sudo ;
其实 sudo 就是给某个普通用户埋下了 浩克hulk 的种子,当需要执行一些特权操作时,进行发怒,获取最高权限,但正常情况下还是普通用户,任然会受到系统的约束以及限制;
提权;
su - [username]
sudo
提权;特权命令时; sudo 是否赋予了对应的权限;如果赋予则可以执行;如果没有,则不行;
1.事先赋予权限给某个用户; 某个组;
2.当用户碰到权限不足时,需要操作,可以调用sudo来执行;
3.如果sudo刚好赋予了权限,就可以成功;否则,失败;
分配:
1.先修改 /etc/sudoers 配置文件;设定对应的权限;
## Allow root to run any commands anywhere root ALL=(ALL) ALL bob ALL=(ALL) /usr/bin/yum #这里具有yum权限 ## Allows members of the 'sys' group to run networking, software, ## service management apps and more. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS ## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL
2.使用用户测试;
1.将用户加入 wheel 组,默认 wheel 组有 sudo 权限;
[root@node1 ~]# usermod oldxu -G wheel
2.切换到普通用户身份;
root@web ~# su - oldxu
3.普通用户正常情况下无法删除 /opt 目录;
[oldxu@web ~]$ rm -rf /opt/
rm: cannot remove /opt: Permission denied
4.使用 sudo 提权,然后输入普通用户密码,会发现能正常删除无权限的 /opt 目录;
[oldxu@web ~]$ sudo rm -rf /opt
5.后期可以通过审计日志查看普通用户提权都执行了什么操作
[root@web ~]# tail -f /var/log/secure