充分发挥sudo的作用

《充分发挥sudo的作用》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、充分发挥sudo的作用简介系统管理员可以通过sudo实用程序让用户或组能够作为另一个用户运行命令。换句诂说，可以分派命令特权，而不需要另一个用户的密码。root用户通过在/etc/sudoers文件中设置sudo条目完成这个过程。使用visudo命令编辑此文件。在分派特权吋，必须相信得到特权的用户会慎重地使用它。这里要澄清一个误解：sudo不仅用于让用户作为root用户运行某些命令；它主耍用于让另一个用户作为应用程序用户/所存者运行应用程序或系统命令。如果系统上当前安装了sudo,它不会覆盖现有的sudoers文件。但是，一定要保留/et

2、c/sudoers的备份并阅读升级说明。安装sudo本文并不介绍sudo的基本功能，而是讨论不同的sudo特性。对于本文，我使用sudoversion1.7.2。如果您使用AlX®5.3,那么一定要有最新的gcc版本（4.0.0）。#exportLIBPATH=/usr/lib#./configure—ake#makeinstall作为root用户使用以下命令检查安装的版本，查看构建选项和当前安装的配置：#sudo-VSudoversion1.7.2Sudoerspath:/etc/sudoersAuthenticationmet

3、hods:’aixauth1<restofoutputtruncated>从1.6.9版开始，在sudo执行给定的脚本或命令之前，会缩减一些系统环境变量（比如LIBPATH）的设置。这会给在sudo下运行的现有命令造成问题。但是，在大多数情况下有办法解决。在默认情况下：sudo放在/usr/local/bin中。使用它作为另一个用户运行命令。visudo放在/usr/local/sbin中。使用它编辑sudoers文件。sudoers文件（如果还没有的话）放在/etc中。这个文件包含sudo条0。sudoers文件/etc/s

4、udoers（通常简称为sudoers）文件控制谁可以使用sudo以及使用sudo运行什么。root用户或具有根特权的用户可以设置这些条目。sudoers中sudo条目最基本的形式如卜：<user><host>=<usertoalias><passandtorun>作为某一用户运行以下命令，可以看到此用户能够使用sudo运行什么命令以及其他限制：sudo-1运行sudo命令的一般格式为：sudo-u<usertorunas><mandtorun>日志记录通过在/etc

5、/syslog.conf文件中使用以下设置，可以使用syslog在/var/adm/messages中记录通过sudo运行的所有命令：穴debug/var/adm/messages但是，我认为sudo命令应该记录在一个单独的文件中，这样便于查看已经运行的sudo命令。当然，这也存助于监视失败的sudo活动。创建/var/adm/sudo.log文件，然后在/etc/sudoers文件中添加以下条目：Defaultslogfile=/var/adm/sudo.logDefaults!syslog现在，无论执行成功还是失败，所有sudo活动都

6、会记录在/var/adm/sudo.log中。管理sudoers随着时间的推移，sudoers文件中的条目会越来越多。这是因为服务器上设置的应用程序环境越来越多，也可能因为进一步分派当前任务以隔离责任。随着条目增加，输入错误会越来越常见。让root用户更方便地管理sudoers文件是有税极意义的。我们来讨论两种实现这个目标（至少建立良好的标准）的方法。如果有许多静态条目（在有sudo的每台机器上都运行相同的命令），那么把这些命令放在一个单独的sudoers文件中，这可以使用include指令来实现。如果右许多用户条目，在添加或删除条目时会

7、耗时很长。对于这种情况，好做法是对用户进行分组。可以把用户直接分组在一起，这些组是有效的AIX组。现在详细讨论这两种方法。包含文件在大型企业环境中，维护sudoers文件是一项重要且必须经常执行的任务。简化这项任务的一个解决方案是重新组织sudoers文件。一种做法是提取出静态或可重用的条目，它们在每台机器上都运行相同的命令。与审计/安全或storix备份或一般性能报告一样，现在可以对sudo使用include指令。主sudoers文件可以包含本地条0，包含文件包含静态条0，所以很少需要编辑。在调用visudo吋，它会扫描sudoers。

8、当看到include条目吋，它会扫描此文件，然后返回到主sudoers文件继统扫描。在从主sudoers文件退出visudo时，它会进入包含文件进行编辑。退岀包含文件之后，返回到AIX提示。可