通过配置 /etc/sudoers 文件并使用 visudo 命令,可实现对 sudo 权限的精细化管理:为用户指定可执行命令(如 alice 仅能重启nginx)、按组分配权限(如 ops 组运行特定脚本)、禁止危险命令(如禁止 bob 使用 su)、启用日志审计(记录操作行为),遵循最小权限原则,保障系统安全。
在 linux 中控制 sudo 命令的使用范围,核心是通过配置 /etc/sudoers 文件来实现精细化权限管理。直接编辑该文件不安全,应使用 visudo 命令,它会在保存时检查语法错误,避免系统权限配置失效。
限制用户可执行的命令
可以通过为特定用户指定允许运行的命令,防止其获得完整的 root 权限。
例如,在 /etc/sudoers 中添加:
alice ALL=(ALL) /bin/systemctl restart nginx, /bin/journalctl -u nginx
这表示用户 alice 只能重启 nginx 服务和查看其日志,不能执行其他需要 sudo 的命令。
按组分配 sudo 权限
将用户加入特定组,并为该组设置 sudo 规则,便于批量管理。
常见做法是允许 sudo 组成员执行任意命令:
%sudo ALL=(ALL:ALL) ALL
若要限制该组只能运行特定维护脚本:
%ops ALL=(root) NOPASSWD: /usr/local/bin/backup.sh, /usr/local/bin/cleanup.sh
这样 ops 组成员无需密码即可运行指定脚本。
禁止运行危险命令
可以显式禁止某些命令,防止滥用。
例如,阻止某个用户使用 su 或修改用户账户:
bob ALL=(ALL) ALL, !/usr/bin/su, !/usr/sbin/useradd, !/usr/sbin/usermod
感叹号表示排除,即使在通配符规则后也能生效。
启用日志审计与命令记录
确保 sudo 操作被记录,有助于追踪和审查。
确认 /etc/sudoers 中启用了日志:
Defaults logfile=”/var/log/sudo.log”
还可记录用户实际执行的命令:
Defaults log_input, log_output
这些日志能帮助管理员分析谁在何时执行了什么操作。
基本上就这些。合理配置 sudoers 规则,既能满足日常运维需求,又能有效降低权限滥用风险。关键是遵循最小权限原则,只给必要的命令权限。
