5154

在CentOS 6.5系统中，sudo（superuser do）是一个强大的工具，它允许普通用户以超级用户或其他用户的身份执行命令，从而提高了系统的安全性和管理效率，正确配置sudo可以避免直接使用root账户登录，减少安全风险，同时实现精细化的权限控制，本文将详细介绍CentOS 6.5系统中sudo的配置方法、常见选项及最佳实践。

sudo配置基础

sudo的配置文件位于/etc/sudoers，该文件默认只允许root用户和wheel组的成员使用sudo命令，在修改配置文件前，建议使用visudo命令进行编辑，该命令会检查语法错误并防止配置错误导致系统无法访问，执行visudo时，默认会调用vi编辑器，用户可以根据习惯修改编辑器设置，例如在/etc/bashrc中添加export EDITOR=vim。

为普通用户添加sudo权限

1. 将用户加入wheel组
   最简单的方式是将用户添加到wheel组，这样用户就可以通过sudo su -切换到root身份,执行以下命令：

   usermod -aG wheel username

   其中username为目标用户名，添加后，用户需要重新登录或执行newgrp wheel使权限生效。

2. 直接编辑sudoers文件
   如果需要更灵活的控制，可以手动编辑/etc/sudoers文件,在文件中添加以下行：

   username ALL=(ALL) ALL

   这表示允许username在所有终端（ALL）上以所有用户（ALL）的身份执行所有命令（ALL），若限制用户只能执行特定命令,可以改为：

   username ALL=(ALL) /usr/bin/ls, /usr/bin/cat

sudo配置高级选项

1. 别名（Alias）的使用
   sudo支持定义别名，包括用户别名（User_Alias）、主机别名（Host_Alias）、命令别名（Cmnd_Alias）和运行目标别名（Runas_Alias）。

   User_Alias ADMINS = user1, user2
   Cmnd_Alias NETWORK = /sbin/ifconfig, /sbin/route
   ADMINS ALL=(ALL) NETWORK

   此处定义了ADMINS用户别名为user1和user2，命令别名为NETWORK,并限制这些用户只能执行网络相关命令。

   

2. NOPASSWD选项
   默认情况下，使用sudo需要输入用户密码，若需要免密码执行，可以添加NOPASSWD

   username ALL=(ALL) NOPASSWD: ALL

   注意：此选项会降低安全性,建议仅对特定命令或可信用户使用。

3. 时间戳超时
   sudo默认会缓存用户密码5分钟，期间再次执行sudo无需输入密码，可通过timestamp_timeout参数调整超时时间，在/etc/sudoers中添加：

   Defaults:username timestamp_timeout=15

   表示缓存时间延长至15分钟。

grep "sudo" /var/log/secure

Defaults syslog=local1

Cmnd_Alias SAFE_CMNDS = /usr/bin/ls, /usr/bin/cat, /usr/bin/find
username ALL=(ALL) SAFE_CMNDS