6.2. 使用 sudo 实用程序配置管理访问权限

sudo 命令提供了另一种授予用户管理访问权限的方法。当受信任的用户在管理命令之前加上 sudo 时，系统会提示他们输入 自己的 密码。然后，当它们经过身份验证并假定允许 命令时，将像 root 用户一样执行管理命令。

sudo 命令的基本格式如下：

sudo command

在上例中，命令 将被替换为通常保留给 root 用户的命令，如 mount。

sudo 命令具有高度的灵活性。例如，只有 /etc/sudoers 配置文件中列出的用户才能使用 sudo 命令，命令则在 用户的 shell 中执行，而不是 root shell。这意味着可以完全禁用 root shell，如 Red Hat Enterprise Linux 7 安全指南 中所示。

使用 sudo 命令的每个成功身份验证都会记录到文件 /var/log/messages，而与签发者的用户名一同发布的命令将记录到 /var/log/secure 文件。如果需要额外的日志记录，请使用 pam_tty_audit 模块为指定用户启用 TTY 审核，方法是在 /etc/pam.d/system-auth 文件中添加以下行：

session required pam_tty_audit.so disable=pattern enable=pattern

其中，pattern 代表通过可选方式使用 glob 的以逗号分隔的用户列表。例如，以下配置将为 root 用户启用 TTY 审核，并为所有其他用户禁用它：

session required pam_tty_audit.so disable=* enable=root

sudo 命令的另一个优点是，管理员可以允许不同的用户根据自己的需要访问特定的命令。

想要编辑 sudo 配置文件 /etc/sudoers 的管理员应使用 visudo 命令。

要授予某人完整的管理权限，请键入 visudo 并添加类似用户权限规范部分中的下面这一行：

juan ALL=(ALL) ALL

此示例表示用户 juan 可以从任何主机使用 sudo 并执行任何命令。

以下示例演示了配置 sudo 时可能的粒度：

%users localhost=/usr/sbin/shutdown -h now

这个示例表示，users 系统组 的任何成员都可以发出 /sbin/shutdown -h 命令，只要它 从控制台发布。

sudoers 的 man page 包含此文件的选项的详细列表。

您还可以使用 /etc/sudoers 文件中的 NOPASSWD 选项配置不需要提供任何密码的 sudo 用户：

user_name ALL=(ALL)	NOPASSWD: ALL

但是，即使对于此类用户，sudo 也 运行 可插拔验证模块(PAM)帐户管理模块，这可以检查 PAM 模块在身份验证阶段之外实施的限制。这样可确保 PAM 模块正常工作。例如，如果 pam_time 模块，基于时间的帐户限制不会失败。