Quick HOWTO : Ch09 : Linux Users and Sudo/zh:修订间差异

Yiding.he留言 | 贡献
新页面: {{From|http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch09_:_Linux_Users_and_Sudo}} {{Languages|Quick HOWTO : Ch09 : Linux Users and Sudo}} = '''序言''' = 在我们...
Yiding.he留言 | 贡献
第1行: 第1行:
{{From|http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch09_:_Linux_Users_and_Sudo}} {{Languages|Quick HOWTO : Ch09 : Linux Users and Sudo}}
{{From|http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch09_:_Linux_Users_and_Sudo}} {{Languages|Quick HOWTO : Ch09 : Linux Users and Sudo}}

= '''序言''' =
= 简介 =

在我们开始之前,最好先讲一些基本的用户管理系统,这在以後的章节中是非常有用的。添加用户在管理linux盒子中非常重要的一项操作。在这里你会看到几个为以後章节准备简单的例子。你不一定能够完全理解它,but is a good memory refresher(此句不会翻译)。你可以用这个命令man useradd来获得关于用useradd命令添加用户的帮助,或者用命令man usermod来进一步熟悉关于用usermod命令来修改用户的帮助信息。
在我们开始之前,最好先讲一些基本的用户管理系统,这在以后的章节中是非常有用的。添加用户在管理linux盒子中非常重要的一项操作。在这里你会看到几个为以后章节准备简单的例子。你不一定能够完全理解它,but is a good memory refresher(此句不会翻译)。你可以用这个命令man useradd来获得关于用useradd命令添加用户的帮助,或者用命令man usermod来进一步熟悉关于用usermod命令来修改用户的帮助信息。

= 谁是超级用户? =
= 谁是超级用户? =


<br> 所有的系统资源和文件。超级用户有一个用户ID,为0,它被linux应用软件普遍的确定为所属于具有最高权限的用户(翻译不好,原文:This user has a user ID, of 0 which is universally identified by Linux applications as belonging to a user with supreme privileges)。你需要以root用户登录来为你的linux服务器添加一个新的用户。
所有的系统资源和文件。超级用户有一个用户 ID,为 0,所有 Linux 应用软件都会将它视为具有最高权限的用户。你需要以 root 用户登录来为你的 linux 服务器添加一个新的用户。

'''注意:'''''''''当你安装Ubuntu linux系统的时候,系统提示你创建的用户并不是root用户。root会自动建立但是没有密码,所以最初你不能以root用户登录。用sudo su命令,第一个用户可以变成root用户,这在以後会论述。''
'''注意:'''当你安装 Ubuntu linux 系统的时候,系统提示你创建的用户并不是 root 用户。root 会自动建立但是没有密码,所以最初你不能以 root 用户登录。用 sudo su 命令,第一个用户可以变成 root 用户,这在以后会论述。''

= 怎样添加用户 =
= 怎样添加用户 =
第59行: 第59行:
== 怎样更改密码 ==
== 怎样更改密码 ==

====== 你需要为第一个帐户创建一个密码。这可以用passwd命令来完成。 系统会提示输入你的旧密码一次,输入你的新密码两次。 ======
你需要为第一个帐户创建一个密码。这可以用passwd命令来完成。 系统会提示输入你的旧密码一次,输入你的新密码两次。

第67行: 第67行:
all authentication tokens updated successfully.
all authentication tokens updated successfully.
[root@bigboy root]#</pre>  
[root@bigboy root]#</pre>  
===== 用户以后可能会改他们自己的密码。这个例子说明用户paul改自己的密码没有特权。 =====
<pre>[paul@bigboy paul]$ passwd
<pre>[paul@bigboy paul]$ passwd
Changing password for paul Old password: your current password
Changing password for paul Old password: your current password
第78行: 第80行:
== 怎样删除用户 ==
== 怎样删除用户 ==

==== userdel命令可以用来把用户记录从目录/etc/passwd和登录进程所用到的目录/etc/shadow中删除。这个命令只有一个参数,就是你要删的用户名 ====

该命令也有一个选项 -r用来将该用户在/home目录下所有的内容一起删除。用这个选项要小心。用户目录下的数据可能非常重要即使该用户已经离开你的公司。
该命令也有一个选项 -r用来将该用户在/home目录下所有的内容一起删除。用这个选项要小心。用户目录下的数据可能非常重要即使该用户已经离开你的公司。
第85行: 第87行:
=== 怎样让群组知道用户属于哪个群组 ===
=== 怎样让群组知道用户属于哪个群组 ===

==== Use the groups command with the username as the argument.用用户名作groups命令的参数 ====
Use the groups command with the username as the argument.用用户名作groups命令的参数
<pre>[root@bigboy root]# groups paul paul&nbsp;: parents
<pre>[root@bigboy root]# groups paul paul&nbsp;: parents
[root@bigboy root]#</pre>  
[root@bigboy root]#</pre>  
=== 怎样更改文件的所有权 ===
=== 怎样更改文件的所有权 ===

==== 你可以用chown命令来更改文件的所有权。第一个对象是该文件 期望的用户名和群组所有权被一个冒号(:)分开,后面是文件名。在下面的例子中,我们改变了名为text.txt的文件的所有权,从root用户和root群组拥有改为testuser用户和users群组拥有: ====
你可以用chown命令来更改文件的所有权。第一个对象是该文件 期望的用户名和群组所有权被一个冒号(:)分开,後面是文件名。在下面的例子中,我们改变了名为text.txt的文件的所有权,从root用户和root群组拥有改为testuser用户和users群组拥有:
<pre>[root@bigboy tmp]# ll test.txt
<pre>[root@bigboy tmp]# ll test.txt
-rw-r--r-- 1 root root 0 Nov 17 22:14 test.txt
-rw-r--r-- 1 root root 0 Nov 17 22:14 test.txt
第97行: 第100行:
-rw-r--r-- 1 testuser users 0 Nov 17 22:14 test.txt
-rw-r--r-- 1 testuser users 0 Nov 17 22:14 test.txt
[root@bigboy tmp]#</pre>  
[root@bigboy tmp]#</pre>  
您也可以使用chown命令后加上- R的参数,它能递归搜索目录并改变其权限。
您也可以使用chown命令後加上- R的参数,它能递归搜索目录并改变其权限。

= 用sudo命令 =
= 用sudo命令 =
第127行: 第130行:
Password: ... ... [bob@bigboy bob]$
Password: ... ... [bob@bigboy bob]$


=== 完全以root用户登录 ===
=== 完全以root用户登录 ===
第141行: 第144行:

以後的章节会讲到怎样使sudo su命令失效以及怎样用sudo命令而不需要输入密码。
以后的章节会讲到怎样使sudo su命令失效以及怎样用sudo命令而不需要输入密码。

== 下载安装sudo命令包 ==
== 下载安装sudo命令包 ==
第286行: 第289行:
= 总结 =
= 总结 =

知道怎样添加用户非常重要,不仅仅是他们可以登录我们的系统。大部分基于应用软件的服务器都是通过没有特权的用户帐号运行,例如MySQL数据库以用户mysql的身份运行,服务器应用程序Apache Web以用户apache的身份运行。这些帐号一般不会被自动建立,特别是当然这些软件是通过TAR文件安装的时候。<br>最后,sudo实际上提供了一种分散责任,系统管理多用户化的方法,。你甚至可以根据一些用户在组织中的角色让这些群体的用户的拥有局部的访问特权命令,这使得sudo成为任何公司的服务器管理和安全政策中非常有用的一部分。
知道怎样添加用户非常重要,不仅仅是他们可以登录我们的系统。大部分基于应用软件的服务器都是通过没有特权的用户帐号运行,例如MySQL数据库以用户mysql的身份运行,服务器应用程序Apache Web以用户apache的身份运行。这些帐号一般不会被自动建立,特别是当然这些软件是通过TAR文件安装的时候。<br>最後,sudo实际上提供了一种分散责任,系统管理多用户化的方法,。你甚至可以根据一些用户在组织中的角色让这些群体的用户的拥有局部的访问特权命令,这使得sudo成为任何公司的服务器管理和安全政策中非常有用的一部分。

2008年2月23日 (六) 15:05的版本

{{#ifexist: :Quick HOWTO : Ch09 : Linux Users and Sudo/zh/zh | | {{#ifexist: Quick HOWTO : Ch09 : Linux Users and Sudo/zh/zh | | {{#ifeq: {{#titleparts:Quick HOWTO : Ch09 : Linux Users and Sudo/zh|1|-1|}} | zh | | }} }} }} {{#ifeq: {{#titleparts:Quick HOWTO : Ch09 : Linux Users and Sudo/zh|1|-1|}} | zh | | }}


在我们开始之前,最好先讲一些基本的用户管理系统,这在以后的章节中是非常有用的。添加用户在管理linux盒子中非常重要的一项操作。在这里你会看到几个为以后章节准备简单的例子。你不一定能够完全理解它,but is a good memory refresher(此句不会翻译)。你可以用这个命令man useradd来获得关于用useradd命令添加用户的帮助,或者用命令man usermod来进一步熟悉关于用usermod命令来修改用户的帮助信息。



所有的系统资源和文件。超级用户有一个用户 ID,为 0,所有 Linux 应用软件都会将它视为具有最高权限的用户。你需要以 root 用户登录来为你的 linux 服务器添加一个新的用户。

注意:当你安装 Ubuntu linux 系统的时候,系统提示你创建的用户并不是 root 用户。root 会自动建立但是没有密码,所以最初你不能以 root 用户登录。用 sudo su 命令,第一个用户可以变成 root 用户,这在以后会论述。




Parents Children Soho

Paul   Accounts Derek Jane   Alice



[root@bigboy tmp]# groupadd parents

[root@bigboy tmp]# groupadd children [root@bigboy tmp]# groupadd soho


[root@bigboy tmp]# useradd -g parents paul

[root@bigboy tmp]# useradd -g parents jane [root@bigboy tmp]# useradd -g children derek [root@bigboy tmp]# useradd -g children alice [root@bigboy tmp]# useradd -g soho accounts [root@bigboy tmp]# useradd -g soho sales

 如果你不用-g指定群组,RedHat/Fedora Linux会自动建立一个和你所添加的用户名字一样的群组;也就是用户私有组方案。每一个新用户在第一次登录的时候,都会被提示设置他们新的永久密码。


[root@bigboy tmp]# ll /home

drwxr-xr-x 2 root root 12288 Jul 24 20:04 lost+found drwx------ 2 accounts soho 1024 Jul 24 20:33 accounts drwx------ 2 alice children 1024 Jul 24 20:33 alice drwx------ 2 derek children 1024 Jul 24 20:33 derek drwx------ 2 jane parents 1024 Jul 24 20:33 jane drwx------ 2 paul parents 1024 Jul 24 20:33 paul drwx------ 2 sales soho 1024 Jul 24 20:33 sales [root@bigboy tmp]#



你需要为第一个帐户创建一个密码。这可以用passwd命令来完成。 系统会提示输入你的旧密码一次,输入你的新密码两次。


[root@bigboy root]# passwd paul
Changing password for user paul. New password:
Retype new password: passwd:
all authentication tokens updated successfully.
[root@bigboy root]#


[paul@bigboy paul]$ passwd
Changing password for paul Old password: your current password
Enter the new password (minimum of 5, maximum of 8 characters) 
Please use a combination of upper and lower case letters and numbers. 
New password: your new password
Re-enter new password: your new password
Password changed.
[paul@bigboy paul]$



该命令也有一个选项 -r用来将该用户在/home目录下所有的内容一起删除。用这个选项要小心。用户目录下的数据可能非常重要即使该用户已经离开你的公司。

<pre>[root@bigboy tmp]# userdel paul
[root@bigboy tmp]# userdel -r paul  


Use the groups command with the username as the argument.用用户名作groups命令的参数

[root@bigboy root]# groups paul paul : parents
[root@bigboy root]#


你可以用chown命令来更改文件的所有权。第一个对象是该文件 期望的用户名和群组所有权被一个冒号(:)分开,後面是文件名。在下面的例子中,我们改变了名为text.txt的文件的所有权,从root用户和root群组拥有改为testuser用户和users群组拥有:

[root@bigboy tmp]# ll test.txt
-rw-r--r-- 1 root root 0 Nov 17 22:14 test.txt
[root@bigboy tmp]# chown testuser:users test.txt
[root@bigboy tmp]# ll test.txt
-rw-r--r-- 1 testuser users 0 Nov 17 22:14 test.txt
[root@bigboy tmp]#

您也可以使用chown命令後加上- R的参数,它能递归搜索目录并改变其权限。









[bob@bigboy bob]$ more /etc/sudoers

/etc/sudoers: Permission denied [bob@bigboy bob]$


[bob@bigboy bob]$ sudo more /etc/sudoers

Password: ... ... [bob@bigboy bob]$




someuser@u-bigboy:~$ sudo su -

Password: root@u-bigboy:~#


以后的章节会讲到怎样使sudo su命令失效以及怎样用sudo命令而不需要输入密码。




[root@aqua tmp]# visudo



文件/etc/sudoers ==





表9-1 文件/etc/sudoers的格式

General sudoers File Record Format

usernames/group servername = (usernames command can be run as) command


  • Groups are the same as user groups and are differentiated from regular users by a % at the beginning. The Linux user group "users" would be represented by %users.
  • You can have multiple usernames per line separated by commas.
  • Multiple commands also can be separated by commas. Spaces are considered part of the command.
  • The keyword ALL can mean all usernames, groups, commands and servers.
  • If you run out of space on a line, you can end it with a back slash (\) and continue on the next line.
  • sudo assumes that the sudoers file will be used network wide, and therefore offers the option to specify the names of servers which will be using it in the servername position in Table 9-1. In most cases, the file is used by only one server and the keyword ALL suffices for the server name.
  • The NOPASSWD keyword provides access without prompting for your password.


This section presents some simple examples of how to do many commonly required tasks using the sudo utility.




Granting All Access to Specific Users 允许

特殊用户拥有所有权限 ===


bob, bunny ALL=(ALL) ALL

This is generally not a good idea because this allows bob and bunny to use the su command to grant themselves permanent root privileges thereby bypassing the command logging features of sudo. The example on using aliases in the sudoers file shows how to eliminate this prob

这通常来说不是个好办法,因为这会让用户bob和bunny能通过用sudo su命令


Granting Access To Specific Users To Specific Files


This entry allows user peter and all the members of the group operator to gain access to all the program files in the /sbin and /usr/sbin directories, plus the privilege of running the command /usr/local/apps/check.pl. Notice how the trailing slash (/) is required to specify a directory location:

peter, %operator ALL= /sbin/, /usr/sbin, /usr/local/apps/check.pl

Notice also that the lack of any username entries within parentheses () after the = sign prevents the users from running the commands automatically masquerading as another user. This is explained further in the next example.



Granting Access to Specific Files as Another User

The sudo -u entry allows allows you to execute a command as if you were another user, but first you have to be granted this privilege in the sudoers file.

This feature can be convenient for programmers who sometimes need to kill processes related to projects they are working on. For example, programmer peter is on the team developing a financial package that runs a program called monthend as user accounts. From time to time the application fails, requiring "peter" to stop it with the /bin/kill, /usr/bin/kill or /usr/bin/pkill commands but only as user "accounts". The sudoers entry would look like this:

peter ALL=(accounts) /bin/kill, /usr/bin/kill /usr/bin/pkill

User peter is allowed to stop the monthend process with this command:

[peter@bigboy peter]# sudo -u accounts pkill monthend

Granting Access Without Needing Passwords

This example allows all users in the group operator to execute all the commands in the /sbin directory without the need for entering a password. This has the added advantage of being more convenient to the user:

%operator ALL= NOPASSWD: /sbin/

Using Aliases in the sudoers File

Sometimes you'll need to assign random groupings of users from various departments very similar sets of privileges. The sudoers file allows users to be grouped according to function with the group and then being assigned a nickname or alias which is used throughout the rest of the file. Groupings of commands can also be assigned aliases too.

In the next example, users peter, bob and bunny and all the users in the operator group are made part of the user alias ADMINS. All the command shell programs are then assigned to the command alias SHELLS. Users ADMINS are then denied the option of running any SHELLS commands and su:

Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, \

/usr/bin/ksh, /usr/local/bin/tcsh, \ /usr/bin/rsh, /usr/local/bin/zsh

User_Alias ADMINS = peter, bob, bunny, %operator ADMINS ALL = !/usr/bin/su, !SHELLS

This attempts to ensure that users don't permanently su to become root, or enter command shells that bypass sudo's command logging. It doesn't prevent them from copying the files to other locations to be run. The advantage of this is that it helps to create an audit trail, but the restrictions can be enforced only as part of the company's overall security policy.

Other Examples

You can view a comprehensive list of /etc/sudoers file options by issuing the command man sudoers.

Using syslog To Track All sudo Commands

All sudo commands are logged in the log file /var/log/messages which can be very helpful in determining how user error may have contributed to a problem. All the sudo log entries have the word sudo in them, so you can easily get a thread of commands used by using the grep command to selectively filter the output accordingly.

Here is sample output from a user bob failing to enter their correct sudo password when issuing a command, immediately followed by the successful execution of the command /bin/more sudoers.

[root@bigboy tmp]# grep sudo /var/log/messages

Nov 18 22:50:30 bigboy sudo(pam_unix)[26812]: authentication failure; logname=bob uid=0 euid=0 tty=pts/0 ruser= rhost= user=bob Nov 18 22:51:25 bigboy sudo: bob : TTY=pts/0 ; PWD=/etc ; USER=root ; COMMAND=/bin/more sudoers [root@bigboy tmp]#


知道怎样添加用户非常重要,不仅仅是他们可以登录我们的系统。大部分基于应用软件的服务器都是通过没有特权的用户帐号运行,例如MySQL数据库以用户mysql的身份运行,服务器应用程序Apache Web以用户apache的身份运行。这些帐号一般不会被自动建立,特别是当然这些软件是通过TAR文件安装的时候。