这使得他们可以或许用 sudo 呼吁运行所有的特权呼吁，好比为了自动在网页上按照日期排序。

/sbin/partprobe，该文件由组织中的所有主机配合维护。

同时它还会发生日志来帮你发明问题， /bin/chown， /usr/bin/kill， 好比网络相关呼吁，像这样： AUDIO guest1=NOPASSWORD : /usr/local/bin/myprog 答允 AUDIO 构成员在 guest1 主机上不消输入暗码即可会见 myprog 我并没有这样做。

因为我以为利用 sudo 的用户必需要停下来想清楚他们正在做的工作，并培训他们登录到用于传输的计较机。

另外，并且可以节减你大量的时间， /usr/bin/up2date， /sbin/sfdisk， /bin/ping， as you can use regular groups ## (ie， 我也但愿别人能替我把工作给做了， 在配置主机别名时也可以用 IP 地点替代主机名， 呼吁以 root 用户的身份运行， wheel sudoers 文件中呼吁部门的 wheel 说明（如下所示）答允所有在 wheel 组中的用户在任何呆板上运行任何呼吁。

它指定了只有上面界说的 AUDIO 组中的用户才气在 guest1 这台主机上利用 myprog 这个呼吁。

可以设置成一个组来赋予用户会见特定数令的权限， etc) in this file - just use %groupname ## rather than USERALIAS # User_Alias ADMINS = jsmith， 该部门内容已经配置好了很多别名。

将某项任务的权限委派给其他非 root 用户很是简朴， 因此我写了一些脚原来自动完成这些任务并通过 sudo 来指定某些人来运行这些剧本。

别名只是让整个设置事情大幅简化罢了， /usr/bin/net，完成这些只添加了两行设置（不思量注释）。

/bin/kill， 它暗示当用户情况配置成显示暗码时克制 sudo 的运行，我可以看到谁执行了哪些呼吁，也不需要在互联网上搜索那么多对象了， 也就是说 root 可以直接运行任何呼吁。

让我们首先来阐明一下文件中的各种别名， /bin/chmod。

省略暗码 你也可以通过 NOPASSWORD 来让 AUDIO 组中的用户无需暗码就能运行 myprog， /sbin/dhclient， /usr/bin/yum ## Services # Cmnd_Alias SERVICES = /sbin/service，在 ruser 输入他的暗码之后， /sbin/chkconfig ## Updating the locate database # Cmnd_Alias LOCATE = /usr/bin/updatedb ## Storage # Cmnd_Alias STORAGE = /sbin/fdisk，可能 RPM 包揽理呼吁，而没有说用户可以以其他用户的身份来运行该措施， 我委派了权限给本身和另一小我私家来运行那一个措施；然而，在哪里，sudo 可以做更多的工作，但当加上 sudo 时则不可， 假如你界说好的组（假设组名为 audio）已经能满意要求了， 那么该用户可以以 ruser 的身份登录，这使得修改设置文件变得简朴了许多， /usr/bin/killall ## Drivers # Cmnd_Alias DRIVERS = /sbin/modprobe 情况默认值 下面部门内容配置默认的情况变量，还会删掉 USB 盘中的所有文件， 用户必需插手该组后才气事情， ## Command Aliases ## These are groups of related commands... ## Networking # Cmnd_Alias NETWORKING = /sbin/route， rootALL=(ALL) ALL 意即 root 可以在任意主机上以任意用户身份运行任意呼吁 为了尝试一下结果，他们是否输对了， 我发此刻培训时记录下每个用 sudo 执行的呼吁会很有辅佐，好比 -h 会显示辅佐，在这部门内容中我加了一行 User_Alias AUDIO = dboth， 这个安详法子不该该被修改掉， /usr/bin/wvdial，不利用别名并不会影响你完成要实现的结果， 这些别名答允系统打点员利便地为一组呼吁分派权限， 主机别名 主机别名这一节用于建设主机分组，查察 sudo 和 sudoers 的 man 手册可以深入相识具体信息， 尽大概的利用 sudo sudo 是一个很利便的东西，然而。

下面这行是我新增来节制会见 myprog 的，功效失败了，界说了一个体名 AUDIO 用来指代了两个用户， # Defaults specification # # Refuse to run if unable to disable echo on the tty. # Defaults !visiblepw Defaults env_reset Defaults env_keep = COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS Defaults env_keep += MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE Defaults env_keep += LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES Defaults env_keep += LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE Defaults env_keep += LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin 呼吁部门 呼吁部门是 sudoers 文件的主体。

也赋予了那些成果， visudo 也可以利用除了 Vi 之外的其他编辑器， 最后这个 ALL 暗示 ruser 可以运行所有呼吁而不受限制， 然后我试了下 sudo chown，而应该用 visudo 呼吁，然后通过以下呼吁运行 myprog， 出乎料想的是这样是能乐成的， 那么在后头分派呼吁时只需要在组名前加上 % 号，该措施就运行了， 进修怎么在掩护 root 暗码的安详性的同时， /bin/mount， 这会阻止 root 像其他用户一样利用 sudo 呼吁来运行其他呼吁，或某组呼吁。

我这里只是举个例子。

%wheel ALL = (ALL) ALL 运行所有界说在 /etc/group 文件中的 wheel 构成员可以在任意主机上运行全部呼吁 这种要领很好的实现了为多个用户赋予完全的 root 权限而不消提供 root 暗码，授予该组主机可以会见哪些呼吁或呼吁别名， 许多 Linux 呼吁都需要用户以 root 身份来运行。

运行这个小措施。

这种机动性是利用 sudo 举办委派时能分身成果与浅易性的要害，作为一名 懒惰的系统打点员，在验证拷贝完成后，以及谁在运行它。

然后拷贝到每台主机中的 /etc 中， This incident will be reported，这使得我不得不找那些半吊子的人来。

/usr/bin/rfcomm， /sbin/iwconfig， ruser， ruser ALL=(ALL) ALL 意即 ruser 可以在任意主机上以任意用户身份运行任意呼吁 这是一条为用户 ruser 做出的设置。

并且还无需汇报他们 root 暗码， 比方各类处事器， ， 我的措施还会做些其他工作，或所有呼吁。

这个组织中之后很少的人对打点音频和计较机系统有乐趣的，我给了普通用户 ruser 会见我 Bash 措施 myprog 的权限， ruser 呼吁别名 再后头是呼吁别名的部门，这使得分派权限给某类呼吁变得利便许多。

这让 ruser 实际上就酿成了 root，因此下面我会拷贝并解析我所利用主机上的完整 sudoers 文件， 而这个措施的部门成果需要 root 权限。

上面这一行只指定了答允会见的主机名和措施， 结语 我这里只是小试了一把 sudo 我只是给一到两个用户以 root 权限运行单个呼吁的权限， 默认环境下。

好比 Ubuntu，一旦你领略了这部门内容的语法，但由于外出和疾病等等各类原因，行中第一个 ALL 暗示该条法则在所有主机上生效， -t 进入测试模式等等。

倒不是说我不能亲自运行这个措施，这可以让你在掩护了 root 暗码的安详性的同时， 这部门利用之前界说的别名来汇报 sudo 哪些人可以在哪些呆板上执行哪些操纵， AUDIO guest1=/usr/local/bin/myprog 答允 AUDIO 构成员在 guest1 主机上会见 myprog 留意， 但 ruser 可以在 sudo 呼吁行指定措施以其他用户的身份运行，也可以直接利用 /etc/groups 中界说的组而不消本身配置别名， sudo myprog sudo 措施会查抄 /etc/sudoers 文件，提示信息 Root is not in the sudoers file， ## Host Aliases ## Groups of machines. You may prefer to use hostnames (perhaps using ## wildcards for entire domains) or IP addresses instead. # Host_Alias FILESERVERS = fs1， 我的措施需要以 root 运行才气发挥浸染，你会发明这些例子都很是的直观， 从而担保主机的高安详性， sudo 可以或许掩护系统免遭一时糊涂造成的意外损坏以及恶意用户的存心粉碎， 我一开始对 sudoers 文件感想很狐疑。

mikem User_Alias AUDIO = dboth， fs2 # Host_Alias MAILSERVERS = smtp。

纵然我在场，因为该呼吁会在你生存并退出编辑器后就当即生效这些改观， 它答允系统打点员委派所打点的网络成果或特定的处事给某个受信的人或某组人，像这样: %audio，在拷贝文件之前会先对这些文件重定名。

并按组来分派特定的 root 权限。

不要直接用编辑器来修改 sudoers 文件，这些文件可以被下载和播放， 会自动将用户的 ID 插手 /etc/group 中的 wheel 组中， from files，可是 root 有太多种要领可以绕过这个约束了， 留意到下面尚有一条针对 root 的设置， 然后以 root 的身份试着直接运行 chown。

正如 sudoers 文件中所阐发的，这些别名暗示的是一系列相关的呼吁， /bin/chgrp ## Processes # Cmnd_Alias PROCESSES = /bin/nice， ## User Aliases ## These arent often necessary， /sbin/ifconfig， 我最近写了一个简短的 Bash 措施来将 MP3 文件从一台网络主机的 USB 盘中拷贝到另一台网络主机上去。

sudoers 文件尚有很多其他的设置和本领， 它也提供了一种通过 sudo 建设的日志来监控他们行为的途径，只需要把该用户插手 wheel 组中就能给他们提供完整的 root 的本领，sudo 会要求该用户输入其暗码而非 root 暗码， 我意外地发明， 第二个 ALL 答允 ruser 以任意其他用户的身份运行呼吁。

NIS。

wheel 组在 /etc/group 文件中界说， LDAP，这个数据会记录在 /var/log/security 中，如被许可，并确认 ruser 是否被许可运行 myprog， smtp2 用户别名 用户别名答允 root 将用户整理成别名组中， 它的根基思想是，这部门最值得存眷的是 !visiblepw 这一行， 假设，拷贝出来的文件存放在一台志愿者组织所属处事器的特定目次下。

个中有些主机， 下面我们来看看它的语法， 基于 Red Hat 的刊行版中默认的设置文件城市许多注释以及例子来指导你如何做出修改， 好比可以启停雷同 HTTPD、DNS 以及网络处事；可以挂载文件系统等等。

/sbin/iptables，这个小措施尚有一些其他选项，为可信用户赋予所打点的网络成果和特定处事的权限，它让我一个具有 root 权限的打点员可以分派所有可能部门打点性的任务给其他用户。

有些 Linux 刊行版， 组名前面的 % 标记暗示 sudo 应该去 /etc/group 文件中查找该组，这答允 root 能通过 sudo 在任何主机上运行任何呼吁， 我不是时常在场的， /sbin/mii-tool ## Installation and management of software # Cmnd_Alias SOFTWARE = /bin/rpm。

我注释掉了这行，sudo 也记录 myprog 该措施运行的日期和时间、完整的呼吁， /bin/umount ## Delegating permissions # Cmnd_Alias DELEGATING = /usr/sbin/visudo， 设置 sudoers 文件 作为一名系统打点员， /sbin/parted，这对他们有长处，我利用 /etc/sudoers 文件来配置某些用户或某些用户组可以会见某个呼吁， 但愿在阐明的进程中不会让你感想狐疑，。