linux配置sudo
⑴ linux里面su和sudo区别是什么
1、内容不同
su命令:用于切换用户,substitute英文含义“代替”的意思。
sudo命令:为superuser do 的简写,即使用超级用户来执行命令,一般是指root用户。
2、用法不同
su命令:不加用户名默认是切换为root用户,切当前目录不改变,其他环境变量不变。
sudo命令:查看当前用户可以用sudo执行的命令都有哪些。
3、环境不同
su命令:切换到root用户,但是并没有转到root用户家目录下,即没有改变用户的环境。
sudo命令:是当前用户切换到root,然后以root身份执行命令,执行完成后,直接退回到当前用户,而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权。
su和sudo各有优点,适当用于预期的用例时,两者都表现不俗。我偏爱用su处理自己的大部分工作,因为它最适合我和我的工作流程。
⑵ linux设置为局域网主机
1、激活IP转发
为了设置网络共享,你需要在linux主机上更改一个内核参数来使能IP转发功能。内核启动参数设定在/etc/sysctl.conf文件中。
打开这个文件,定位到含有"# net.ipv4.ip_forward = 0"的这一行,移除#号(即取消注释),然后将其值设置为1,改好之后应该和下面的一致。
1.net.ipv4.ip_forward = 1
你还要使激活IP转发功能生效,通过执行下面的命令:
$ sudo sysctl -w net.ipv4.ip_forward=1
$ sudo sysctl -p
2、NAT配置
另一个网络共享的重要部分是NAT配置,这可以通过使用iptables的命令,iptables包含四个防火墙的规则表:
·FILTER (默认表格)
·NAT
·MANGLE
·RAW
这个教程中我们将仅使用两个表格:FILTER和NAT表格。
首先,刷新所有活跃的防火墙的规则。
$ sudo iptables -X
$ sudo iptables -F
$ sudo iptables -t nat -X
$ sudo iptables -t nat -F
在输入表格中,你需要设置转发链(FORWARD)成可接受的(ACCEPT)目的地,因此所有通过主机的数据包将会被正确的处理。
$ sudo iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ sudo iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
在NAT表中,你必须为你的WAN口启用IP伪装功能,我们假设WAN口协议是wlx085700c5b983。为了在wlx085700c5b983接口上使能IP伪造技术,我们使用以下的命令(wlx085700c5b983为可联网网卡名字):
$ sudo iptables -t nat -I POSTROUTING -o wlx085700c5b983 -j MASQUERADE
3、配置私有IP地址
在linux主机上的所有配置完成后,你需要配置其他设备(linux/windows的PC或笔记本)的DNS服务器以及默认网关,让它们的数据 流可以指向linux主机。注意你不需要在linux主机上设置一个DNS服务器,从其他设备发出的每一个DNS请求都会通过上游的ISP自动转发到linux主机上。
如果你的其他设备上用的系统是linux,你可以通过以下命令来更改他们的默认网关和DNS服务器。假设你的网段是192.168.1.0/24的私有IP地址网段,linux主机上绑定的IP地址是192.168.1.1。
$ sudo ip route del default
$ sudo ip route add default via 192.168.1.1
$ sudo sh -c "echo 'nameserver 192.168.1.1' > /etc/resolv.conf"
如果还有其他的linux设备,那么你可以重复以上命令。
如果你有windows设备,你可以通过控制面板的网络连接属性来更改默认网关和DNS服务器。
4、完整的脚本
这是一个在linux主机上设置网络连接共享的一个完整的脚本。WAN口(ppp0协议)需要根据你具体的网络接口协议来替换。
1.$ sudo vi /usr/local/bin/netshare
#!/bin/bash
## Internet connection shating script
sysctl -w net.ipv4.ip_forward=1
sysctl -p
iptables -X
iptables -F
iptables -t nat -X
iptables -t nat -F
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -I POSTROUTING -o wlx085700c5b983 -j MASQUERADE
保存以上的脚本为/usr/local/bin/netshare,然后添加可执行权限通过执行下面的命令。wlx085700c5b983为可联网网卡名字
1.$ sudo chmod +x /usr/local/bin/netshare
如果你需要这个脚本开机启动,你需要在/etc/rc.local文件中执行这个脚本,并在该文件中的"exit 0"之前添加下面一行。
1./usr/local/bin/netshare
主机1设置完毕。
内网主机设置及主机2
1.打开配置文件sudo vim /etc/network/interfaces
添加下列行:
gateway 192.168.0.1(指定网关--主机1的内网ip)
dns-nameservers 10.1.1.1(DNS和主机1的DNS是一样的)
2.重启网络sudo /etc/init.d/networking restart
然后看看现在是否已连网了呢(sudo apt-get update)
NFS:
在主机1上
sudo apt-get install nfs-server(安装所需的软件)
打开文件sudo vi /etc/exports
/home/aaa *(rw,sync)
sudo showmount -e(可查看共享的文件夹)
在主机2上
sudo apt-get install nfs-common
sudo mkdir /home/bbb
sudo mount -t nfs 192.168.0.1:/home/aaa /home/bbb
然后cd /home/bbb
touch 123.txt
你可以从主机1上看到/home/aaa文件夹里多了个文件123.txt
到此结束。
先将脚本复制或者软连接到/etc/init.d/目录下,假设我在当前目录创建一个start-zk.sh的文件,用于开机自启动zookeeper。注意使用#!/bin/bash开头:
#!/bin/bash
some command
赋予文件start-zk.sh文件可执行权限
chomd +xstart-zk.sh
执行命令,将脚本添加到初始化执行的队列中去:
update-rc.d start-zk.sh d efaults
卸载启动脚本的方法
cd/etc/init.dsudoupdate-rc.d-fstart-zk.sh remove
update-rc.d 命令参考: http://blog.csdn.net/shb_derek1/article/details/8489112
wget -qO- ifconfig.me/ip
curl ifconfig.me
⑶ linux/centos普通用户sudo开启sftp
一般情况下,从安全考虑,root是禁止ssh登录,普通用户通过sudo操作,一般都没问题,但是要通过ftp传输文件就麻烦了,文件是属于root用户的,普通用户即使等登录也不能更改文件,也要加上sudo命令才能更改文件,通过winscp软件可以实现实现这个功能,详细配置查看这个帖子:
http://blog.csdn.net/xuejinliang/article/details/52301349
配置图1(http://upload-images.jianshu.io/upload_images/3727878-911d343f96035822.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
配置-高级-SFTP sudo /usr/libexec/openssh/sftp-server
配置图2(http://upload-images.jianshu.io/upload_images/3727878-52fa5c95dcc9d859.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
配置-高级-Shell sudo -i
附加背景知识:
https://en.wikibooks.org/wiki/OpenSSH/Cookbook/File_Transfer_with_SFTP
在主流linux系统版本当中,默认都有安装openssl和openssh包,都有ssh命令,也就是说默认安装好了SFTP服务器和sftp命令,不需要额外配置vsftp。
sftp有两种实现
1.sftp-server默认实现
2.internal-sftp可更改用户对应的目录
本来考虑不用sudo,而是通过internal-sftp来实现,把普通用户加入到root用户组,把文件的root用户组权限加上写的权限来实现的,后来发现没用,
因为目录权限设置要遵循2点:
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。
如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。
⑷ linux终端用户执行不了命令,需要配sudo 怎么配置
配置sudo的配置文件在/etc/sudoers里面,一般通过visudo命令来安全打开编辑。查看/etc/sudoers的用法可以使用命令:
man
5
sudoers。在/etc/sudoers文件里面主要包括这两部分:
1.
别名设置
别名主要包括这几种:User_Alias,Host_Alias,Runas_Alias,Cmnd_Alias,分别是用户别名,主机别名,运行用户别名,命令别名。设置这几个别名的命令主要是为了配置方便,这个很类似linux用户群组或是数据库中角色的作用,有了别名便可以批量的赋予权限。
设置方法
Alias_Type
alias_name
=
name1,
name2,
name3,
例如User_Alias
User1
=
user1,
user2,
user3。其他类型的alias设置方法类似。
2.
真正的sudo
entry
这个就是真正配置哪些用户可以使用哪些命令了(你甚至可以不使用别名设置那部分)。
格式为:用户名(用户别名)
主机名(主机别名)=[(运行用户或是Runas_Alias)可选]
[tag可选]
可以执行的命令(或Cmmd_Alias)
这样描述语法很生硬,不易理解,举例子
user1
host1
=
/bin/kill
#
user1
可以在host1上使用命令/bin/kill
user1
host1
=
NOPASSWD:
/bin/kill
#
user1
可以在host1上使用命令/bin/kill
同时可以不必输入密码(这里就是使用了NOPASSWD
#
这个tag,默认是PASSWD)
user1
host1
=
NOPASSWD:
/bin/kill
,
PASSWORD:
/bin/ls
#
user1
可以在host1上使用命令/bin/kill无需输入密码,但是使用/bin/ls则需要输入密码
user1
host1
=
(opterator)
/bin/kill
#
user1
可以在host1上使用命令/bin/kill但是必须是以operator用户运行这个命令,等价于
#
su
-u
opertor
/bin/kill
user1
host1
=
(:group_name)
/bin/kill
#
user1
可以在host1上使用命令/bin/kill,且必须以group_name这个用户群组里面的用户来运行。
%group_name
host1
=
/bin/kill
#
所有group_name里面的用户都可以在host1上执行/bin/kill(linux中一般代表整个用户群组用
#
%group_name)
再举个实际例子,我之前对sudo
su这个命令不理解,为什么我可以直接就su到root用户了呢,连密码都不需要?查看了一下sudoers文件才知道原来里面有这么一行:
xxx
ALL=NOPASSWD:
/bin/su
⑸ linux下面的sudo命令什么意思
sudo 表示 “superuser do”。 它允许已验证的用户以其他用户的身份来运行命令。其他用户可以是普通用户或者超级用户。然而,大部分时候我们用它来以提升的权限来运行命令。
apt 是Linux下的一款安装包管理工具,是一个客户/服务器系统。sudo apt-get是用来安装linux下的各种工具包的。
(5)linux配置sudo扩展阅读:
注意事项:
编辑sudo的配置文件/etc/sudoers是一般不要直接使用vi(vi /etc/sudoers)去编辑,因为sudoers配置有一定的语法,直接用vi编辑保存系统不会检查语法,如有错也保存了可能导致无法使用sudo工具,而使用visudo命令去配置保存时会进行语法检查,有错会有提示。
命令一定要使用绝对路径,避免其他目录的同名命令被执行,造成安全隐患 ,因此使用的时候也是使用绝对路径!
⑹ Linux系统创建用户并赋予用户sudo权限
sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,如halt,reboot,su等等。这样不仅减少了root用户的管理时间,同样也提高了安全性。Sudo不是对shell的一个代替,它是面向每个命令的。
sudo的配置文件是 /etc/sudoers 文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。
sudo都提供了一个编辑该文件的命令:visudo 来对该文件进行修改。强烈推荐使用该命令修改 sudoers,因为它会帮你校验文件配置是否正确,如果不正确,在保存退出时就会提示你哪段配置出错的。
打开 /etc/sudoers 文件可以发现一个特殊的 wheel 组
第2行表示:wheel 组中的用户可以在ALL/任意主机上以任意用户执行所有的命令,不过需要输入该用户自己的密码。
第4行在第2行的基础上增加了NOPASSWD,意思是无需输入密码。不过这行默认情况下是注释掉的。
这样我们只需要创建一个专用的账户,然后将其添加到wheel组。
创建用户jupiter
将用户添加到wheel组中
现在用户jupiter就可以执行一些原本root用户才能执行的命令。
首先切换到 jupiter 用户
尝试切换到root用户主目录被拒绝
这次使用sudo
然后就可以成功切换到root用户主目录了。
如果不想输入密码,那么可以将上面提到的第4行的注释字符 # 去掉。
Linux命令手册:https://linux.cmsblogs.cn/
⑺ linux下sudo不要密码怎么实现
设置linux下sudo不要密码的步骤如下:
1、首先以root用户登录,并且新建一个普通的用户,用户名为test。
这样就解决了“linux下sudo不要密码”的问题。
(7)linux配置sudo扩展阅读:
1)Linux由众多微内核组成,其源代码完全开源;
2)Linux继承了Unix的特性,具有非常强大的网络功能,其支持所有的因特网协议,包括TCP/IPv4、TCP/IPv6和链路层拓扑程序等,且可以利用Unix的网络特性开发出新的协议栈;
3)Linux系统工具链完整,简单操作就可以配置出合适的开发环境,可以简化开发过程,减少开发中仿真工具的障碍,使系统具有较强的移植性;
⑻ Linux入门系列——su和sudo
su和sudo这两个命令是Linux运维必须要会的,通常在生产环境中都是使用普通帐号来登录,再使用su或sudo来执行一些管理命令。
su:run a shell with substitute user and group ids
-,-l,--login 切换后使用指定用户的的shell。
-c,--command=COMMAND 可以在不切换当前shell的情况下,用指定的用户来执行一个命令;
如果在su的时候没有加”-“或“-l”或“--login”那么默认的会使用 当前用户 的shell来执行 ;
sudo的配置文件是: /etc/sudoers ,该文件可以定义哪个用户可以在哪个机器上以哪个用户的身份来执行哪些命令;
在配置sudo时必须使用 visudo 来编辑配置文件,因为使用visudo可以检查修改后的文件的语法是否正确;
可以将上面的配置行分成四部分:part1 part2 part3 part4
例如:
那么如果用户的数量过多的时候是不是要为每个用户来创建一个条目呢,很显示这样做是不科学的。所以sudo就引入了别名的概念,其实和组也差不多;
alias定义的语法:
要注意的是,这个Alias的名称一定要大写;
user1是一个用户,user2是一个组,所以user2的前面要加上%
可以使用主机名,IP地址,网段(网段的掩码可以写成255.255.255.0,也可以写成/24)
命令必须使用绝对路径。如果只指定了一个目录,那么用户就可以执行该目录下的所有的文件;上面的“=”右边的都可以使用“!”来取反。表示除了xxx以外;
例子 :请允许user1,user2,user3在192.168.20.44和192.168.10.0/24网段的机器上使用sudo切换到root用户来执行useradd和setup命令;
然后就可以使用user1,user2,user3这三个用户去测试了;
注意:当用户第一次执行sudo命令的时候是需要用户输入自己的密码的。当第一次输入正确后,这个密码就会被缓存5分钟,在5分钟内用户再次使用sudo来切换身份执行命令的时候就不需要再次输入自己的密码。
这样呢有些时候会有一个安全隐患,所以为了去掉这个5分钟,可以在使用sudo命令的时候加上“-k”参数,这样用户在每次执行sudo命令的时候都会让用户输入自己的密码。
如果想让某个用户在执行sudo的时候不需要输入自己的密码,那么可以在命令的前面添加NOPASSWD。/etc/sudoers的内容如下:
这样的话,user1,user2,user3这三个用户在执行指定的命令的时候就不需要输入自己的密码了。
如果其中的命令有的需要输入密码,有的不需要输入密码的话,那就把PASSWD:写在那些命令的前面。或是把NOPASSWD:写在最后一个命令中;
例子:让用户user4使用passwd来管理用户的密码,但是不能给root用户设置密码:
注意:如果最后不加上!/usr/bin/passwd root的话,那么会有很大的漏洞,user4可以修改root用户的密码;当添加上后,user4再次执行sudo passwd root的时候就会提示:
⑼ 如何配置Linux系统sudo命令的权限
1、编辑sudo配置文件:visudo;
2、允许用户kk执行sudo;
3、允许kk执行mount.cifs而不用输入密码。
以上就是如何配置Linux系统sudo命令的权限的全部内容了,只有配置好权限才能更方便地使用sudo命令。