当你刚开始使用 Linux 时，你将发现与 Windows 的很多不同。其中一个“不同的东西”是 root 用户的概念。

在这个初学者系列中，我将解释几个关于 Ubuntu 的 root 用户的重要的东西。

请记住，尽管我正在从 Ubuntu 用户的角度编写这篇文章，它应该对大多数的 Linux 发行版也是有效的。

你将在这篇文章中学到下面的内容：

• 为什么在 Ubuntu 中禁用 root 用户
• 像 root 用户一样使用命
• 切换为 root 用户
• 解锁 root 用户

什么是 root 用户？为什么它在 Ubuntu 中被锁定？

在 Linux 中，有一个称为 root 的超级用户。这是超级管理员账号，它可以做任何事以及使用系统的一切东西。它可以在你的 Linux 系统上访问任何文件和运行任何命令。

能力越大，责任越大。root 用户给予你完全控制系统的能力，因此，它应该被谨慎地使用。root 用户可以访问系统文件，运行更改系统配置的命令。因此，一个错误的命令可能会破坏系统。

这就是为什么 Ubuntu 和其它基于 Ubuntu 的发行版默认锁定 root 用户，以从意外的灾难中挽救你的原因。

对于你的日常任务，像移动你家目录中的文件，从互联网下载文件，创建文档等等，你不需要拥有 root 权限。

打个比方来更好地理解它。假设你想要切一个水果，你可以使用一把厨房用刀。假设你想要砍一颗树，你就得使用一把锯子。现在，你可以使用锯子来切水果，但是那不明智，不是吗？\_

这意味着，你不能是 Ubuntu 中 root 用户或者不能使用 root 权限来使用系统吗？不，你仍然可以在 sudo 的帮助下来拥有 root 权限来访问(在下一节中解释)。

要点： 使用于常规任务，root 用户权限太过强大。这就是为什么不建议一直使用 root 用户。你仍然可以使用 root 用户来运行特殊的命令。

如何在 Ubuntu 中像 root 用户一样运行命令？

对于一些系统的特殊任务来说，你将需要 root 权限。例如。如果你想通过命令行更新 Ubuntu，你不能作为一个常规用户运行该命令。它将给出权限被拒绝的错误。

apt update
Reading package lists... Done
E: Could not open lock file /var/lib/apt/lists/lock - open (13: Permission denied)
E: Unable to lock directory /var/lib/apt/lists/
W: Problem unlinking the file /var/cache/apt/pkgcache.bin - RemoveCaches (13: Permission denied)
W: Problem unlinking the file /var/cache/apt/srcpkgcache.bin - RemoveCaches (13: Permission denied)

那么，你如何像 root 用户一样运行命令？简单的答案是，在命令前添加 sudo，来像 root 用户一样运行。

sudo apt update

Ubuntu 和很多其它的 Linux 发行版使用一个被称为 sudo 的特殊程序机制。sudo 是一个以 root 用户（或其它用户）来控制运行命令访问的程序。

实际上，sudo 是一个非常多用途的工具。它可以配置为允许一个用户像 root 用户一样来运行所有的命令，或者仅仅一些命令。你也可以配置为无需密码即可使用 sudo 运行命令。这个主题内容比较丰富，也许我将在另一篇文章中详细讨论它。

就目前而言，你应该知道当你安装 Ubuntu 时，你必须创建一个用户账号。这个用户账号在你系统上以管理员身份来工作，并且按照 Ubuntu 中的默认 sudo 策略，它可以在你的系统上使用 root 用户权限来运行任何命令。

sudo 的问题是，运行 sudo 不需要 root 用户密码，而是需要用户自己的密码。

并且这就是为什么当你使用 sudo 运行一个命令，会要求输入正在运行 sudo 命令的用户的密码的原因：

[email protected]:~$ sudo apt update
[sudo] password for abhishek:

正如你在上面示例中所见 abhishek 在尝试使用 sudo 来运行 apt update 命令，系统要求输入 abhishek 的密码。

如果你对 Linux 完全不熟悉，当你在终端中开始输入密码时，你可能会惊讶，在屏幕上什么都没有发生。这是十分正常的，因为作为默认的安全功能，在屏幕上什么都不会显示。甚至星号（*）都没有。输入你的密码并按回车键。

要点：为在 Ubuntu 中像 root 用户一样运行命令，在命令前添加 sudo。 当被要求输入密码时，输入你的账户的密码。当你在屏幕上输入密码时，什么都看不到。请继续输入密码，并按回车键。

如何在 Ubuntu 中成为 root 用户？

你可以使用 sudo 来像 root 用户一样运行命令。但是，在某些情况下，你必须以 root 用户身份来运行一些命令，而你总是忘了在命令前添加 sudo，那么你可以临时切换为 root 用户。

sudo 命令允许你来模拟一个 root 用户登录的 shell ，使用这个命令：

sudo -i

[email protected]:~$ sudo -i
[sudo] password for abhishek:
[email protected]:~# whoami
root

你将注意到，当你切换为 root 用户时，shell 命令提示符从 $（美元符号）更改为 #（英镑符号）。我开个（拙劣的）玩笑，英镑比美元强大。

虽然我已经向你显示如何成为 root 用户，但是我必须警告你，你应该避免作为 root 用户使用系统。毕竟它有阻拦你使用 root 用户的原因。

另外一种临时切换为 root 用户的方法是使用 su 命令：

sudo su

如果你尝试使用不带有的 sudo 的 su 命令，你将遇到 “su authentication failure” 错误。

你可以使用 exit 命令来恢复为正常用户。

exit

如何在 Ubuntu 中启用 root 用户？

现在你知道，root 用户在基于 Ubuntu 发行版中是默认锁定的。

Linux 给予你在系统上想做什么就做什么的自由。解锁 root 用户就是这些自由之一。

如果出于某些原因，你决定启用 root 用户，你可以通过为其设置一个密码来做到：

sudo passwd root

再强调一次，不建议使用 root 用户，并且我也不鼓励你在桌面上这样做。如果你忘记了密码，你将不能再次在 Ubuntu 中更改 root 用户密码。（LCTT 译注：可以通过单用户模式修改。）

你可以通过移除密码来再次锁定 root 用户：

sudo passwd -dl root

最后…

我希望你现在对 root 概念理解得更好一点。如果你仍然有些关于它的困惑和问题，请在评论中让我知道。我将尝试回答你的问题，并且也可能更新这篇文章。

via: https://itsfoss.com/root-user-ubuntu/

作者：Abhishek Prakash 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

觉得你已经了解了 sudo 的所有知识了吗？再想想。

大家都知道 sudo，对吗？默认情况下，该工具已安装在大多数 Linux 系统上，并且可用于大多数 BSD 和商业 Unix 变体。不过，在与数百名 sudo 用户交谈之后，我得到的最常见的答案是 sudo 是一个使生活复杂化的工具。

有 root 用户和 su 命令，那么为什么还要使用另一个工具呢？对于许多人来说，sudo 只是管理命令的前缀。只有极少数人提到，当你在同一个系统上有多个管理员时，可以使用 sudo 日志查看谁做了什么。

那么，sudo 是什么？ 根据 sudo 网站：

“sudo 允许系统管理员通过授予某些用户以 root 用户或其他用户身份运行某些命令的能力，同时提供命令及其参数的审核记录，从而委派权限。”

默认情况下，sudo 只有简单的配置，一条规则允许一个用户或一组用户执行几乎所有操作（在本文后面的配置文件中有更多信息）：

%wheel ALL=(ALL) ALL

在此示例中，参数表示以下含义：

• 第一个参数（%wheel）定义组的成员。
• 第二个参数（ALL）定义组成员可以在其上运行命令的主机。
• 第三个参数（(ALL)）定义了可以执行命令的用户名。
• 最后一个参数（ALL）定义可以运行的应用程序。

因此，在此示例中，wheel 组的成员可以以所有主机上的所有用户身份运行所有应用程序。但即使是这个一切允许的规则也很有用，因为它会记录谁在计算机上做了什么。

别名

当然，它不仅可以让你和你最好的朋友管理一个共享机器，你还可以微调权限。你可以将以上配置中的项目替换为列表：用户列表、命令列表等。多数情况下，你可能会复制并粘贴配置中的一些列表。

在这种情况下，别名可以派上用场。在多个位置维护相同的列表容易出错。你可以定义一次别名，然后可以多次使用。因此，当你对一位管理员不再信任时，将其从别名中删除就行了。使用多个列表而不是别名，很容易忘记从具有较高特权的列表之一中删除用户。

为特定组的用户启用功能

sudo 命令带有大量默认设置。不过，在某些情况下，你想覆盖其中的一些情况，这时你可以在配置中使用 Defaults 语句。通常，对每个用户都强制使用这些默认值，但是你可以根据主机、用户名等将设置缩小到一部分用户。这里有个我那一代的系统管理员都喜欢玩的一个示例：“羞辱”。这些只不过是一些有人输入错误密码时的有趣信息：

czanik@linux-mewy:~> sudo ls
[sudo] password for root:
Hold it up to the light --- not a brain in sight!  # 把灯举高点，脑仁太小看不到
[sudo] password for root:
My pet ferret can type better than you!     # 我的宠物貂也比你输入的好
[sudo] password for root:
sudo: 3 incorrect password attempts
czanik@linux-mewy:~>

由于并非所有人都喜欢系统管理员的这种幽默，因此默认情况下会禁用这些羞辱信息。以下示例说明了如何仅对经验丰富的系统管理员（即 wheel 组的成员）启用此设置：

Defaults !insults
Defaults:%wheel insults

我想，感谢我将这些消息带回来的人用两只手也数不过来吧。

摘要验证

当然，sudo 还有更严肃的功能。其中之一是摘要验证。你可以在配置中包括应用程序的摘要：

peter ALL = sha244:11925141bb22866afdf257ce7790bd6275feda80b3b241c108b79c88 /usr/bin/passwd

在这种情况下，sudo 在运行应用程序之前检查应用程序摘要，并将其与配置中存储的摘要进行比较。如果不匹配，sudo 拒绝运行该应用程序。尽管很难在配置中维护此信息（没有用于此目的的自动化工具），但是这些摘要可以为你提供额外的保护层。

会话记录

会话记录也是 sudo 鲜为人知的功能。在演示之后，许多人离开我的演讲后就计划在其基础设施上实施它。为什么？因为使用会话记录，你不仅可以看到命令名称，还可以看到终端中发生的所有事情。你可以看到你的管理员在做什么，要不他们用 shell 访问了机器而日志仅会显示启动了 bash。

当前有一个限制。记录存储在本地，因此具有足够的权限的话，用户可以删除他们的痕迹。所以请继续关注即将推出的功能。

插件

从 1.8 版开始，sudo 更改为基于插件的模块化体系结构。通过将大多数功能实现为插件，你可以编写自己的功能轻松地替换或扩展 sudo 的功能。已经有了 sudo 上的开源和商业插件。

在我的演讲中，我演示了 sudo_pair 插件，该插件可在 GitHub 上获得。这个插件是用 Rust 开发的，这意味着它不是那么容易编译，甚至更难以分发其编译结果。另一方面，该插件提供了有趣的功能，需要第二个管理员通过 sudo 批准（或拒绝）运行命令。不仅如此，如果有可疑活动，可以在屏幕上跟踪会话并终止会话。

在最近的 All Things Open 会议上的一次演示中，我做了一个臭名昭著的演示：

czanik@linux-mewy:~> sudo  rm -fr /

看着屏幕上显示的命令。每个人都屏住呼吸，想看看我的笔记本电脑是否被毁了，然而它逃过一劫。

日志

正如我在开始时提到的，日志记录和警报是 sudo 的重要组成部分。如果你不会定期检查 sudo 日志，那么日志在使用 sudo 中并没有太多价值。该工具通过电子邮件提醒配置中指定的事件，并将所有事件记录到 syslog 中。可以打开调试日志用于调试规则或报告错误。

警报

电子邮件警报现在有点过时了，但是如果你使用 syslog-ng 来收集日志消息，则会自动解析 sudo 日志消息。你可以轻松创建自定义警报并将其发送到各种各样的目的地，包括 Slack、Telegram、Splunk 或 Elasticsearch。你可以从我在 syslong-ng.com 上的博客中了解有关此功能的更多信息。

配置

我们谈论了很多 sudo 功能，甚至还看到了几行配置。现在，让我们仔细看看 sudo 的配置方式。配置本身可以在 /etc/sudoers 中获得，这是一个简单的文本文件。不过，不建议直接编辑此文件。相反，请使用 visudo，因为此工具还会执行语法检查。如果你不喜欢 vi，则可以通过将 EDITOR 环境变量指向你的首选编辑器来更改要使用的编辑器。

在开始编辑 sudo 配置之前，请确保你知道 root 密码。（是的，即使在默认情况下 root 用户没有密码的 Ubuntu 上也是如此。）虽然 visudo 会检查语法，但创建语法正确而将你锁定在系统之外的配置也很容易。

如果在紧急情况下，而你手头有 root 密码，你也可以直接编辑配置。当涉及到 sudoers 文件时，有一件重要的事情要记住：从上到下读取该文件，以最后的设置为准。这个事实对你来说意味着你应该从通用设置开始，并在末尾放置例外情况，否则，通用设置会覆盖例外情况。

你可以在下面看到一个基于 CentOS 的简单 sudoers 文件，并添加我们之前讨论的几行：

Defaults !visiblepw
Defaults always_set_home
Defaults match_group_by_gid
Defaults always_query_group_plugin
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
Defaults:%wheel insults
Defaults !insults
Defaults log_output

该文件从更改多个默认值开始。然后是通常的默认规则：root 用户和 wheel 组的成员对计算机具有完全权限。接下来，我们对 wheel 组启用“羞辱”，但对其他所有人禁用它们。最后一行启用会话记录。

上面的配置在语法上是正确的，但是你可以发现逻辑错误吗？是的，有一个：后一个通用设置覆盖了先前的更具体设置，让所有人均禁用了“羞辱”。一旦交换了这两行的位置，设置就会按预期进行：wheel 组的成员会收到有趣的消息，但其他用户则不会收到。

配置管理

一旦必须在多台机器上维护 sudoers 文件，你很可能希望集中管理配置。这里主要有两种可能的开源方法。两者都有其优点和缺点。

你可以使用也用来配置其余基础设施的配置管理应用程序之一：Red Hat Ansible、Puppet 和 Chef 都具有用于配置 sudo 的模块。这种方法的问题在于更新配置远非实时。同样，用户仍然可以在本地编辑 sudoers 文件并更改设置。

sudo 工具也可以将其配置存储在 LDAP 中。在这种情况下，配置更改是实时的，用户不能弄乱sudoers 文件。另一方面，该方法也有局限性。例如，当 LDAP 服务器不可用时，你不能使用别名或使用 sudo。

新功能

新版本的 sudo 即将推出。1.9 版将包含许多有趣的新功能。以下是最重要的计划功能：

• 记录服务可集中收集会话记录，与本地存储相比，它具有许多优点：

  • 在一个地方搜索更方便。
  • 即使发送记录的机器关闭，也可以进行记录。
  • 记录不能被想要删除其痕迹的人删除。
• audit 插件没有向 sudoers 添加新功能，而是为插件提供了 API，以方便地访问任何类型的 sudo 日志。这个插件允许使用插件从 sudo 事件创建自定义日志。
• approval 插件无需使用第三方插件即可启用会话批准。
• 以及我个人最喜欢的：插件的 Python 支持，这使你可以轻松地使用 Python 代码扩展 sudo，而不是使用 C 语言进行原生编码。 ### 总结

希望本文能向你证明 sudo 不仅仅是一个简单的命令前缀。有无数种可能性可以微调系统上的权限。你不仅可以微调权限，还可以通过检查摘要来提高安全性。会话记录使你能够检查系统上正在发生的事情。你也可以使用插件扩展 sudo 的功能，或者使用已有的插件或编写自己的插件。最后，从即将发布的功能列表中你可以看到，即使 sudo 已有数十年的历史，它也是一个不断发展的有生命力的项目。

如果你想了解有关 sudo 的更多信息，请参考以下资源：

• sudo 网站
• sudo 博客
• 在 Twitter 上关注我们

via: https://opensource.com/article/19/10/know-about-sudo

作者：Peter Czanik 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 中利用新发现的 sudo 漏洞可以使某些用户以 root 身份运行命令，尽管对此还有所限制。

sudo 命令中最近发现了一个严重漏洞，如果被利用，普通用户可以 root 身份运行命令，即使在 /etc/sudoers 文件中明确禁止了该用户这样做。

将 sudo 更新到版本 1.8.28 应该可以解决该问题，因此建议 Linux 管理员尽快这样做。

如何利用此漏洞取决于 /etc/sudoers 中授予的特定权限。例如，一条规则允许用户以除了 root 用户之外的任何用户身份来编辑文件，这实际上将允许该用户也以 root 用户身份来编辑文件。在这种情况下，该漏洞可能会导致非常严重的问题。

用户要能够利用此漏洞，需要在 /etc/sudoers 中为用户分配特权，以使该用户可以以其他用户身份运行命令，并且该漏洞仅限于以这种方式分配的命令特权。

此问题影响 1.8.28 之前的版本。要检查你的 sudo 版本，请使用以下命令：

$ sudo -V
Sudo version 1.8.27     <===
Sudoers policy plugin version 1.8.27
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.27

该漏洞已在 CVE 数据库中分配了编号 CVE-2019-14287。它的风险是，任何被指定能以任意用户运行某个命令的用户，即使被明确禁止以 root 身份运行，它都能逃脱限制。

下面这些行让 jdoe 能够以除了 root 用户之外的其他身份使用 vi 编辑文件（!root 表示“非 root”），同时 nemo 有权运行以除了 root 身份以外的任何用户使用 id 命令：

# affected entries on host "dragonfly"
jdoe dragonfly = (ALL, !root) /usr/bin/vi
nemo dragonfly = (ALL, !root) /usr/bin/id

但是，由于存在漏洞，这些用户中要么能够绕过限制并以 root 编辑文件，或者以 root 用户身份运行 id 命令。

攻击者可以通过指定用户 ID 为 -1 或 4294967295 来以 root 身份运行命令。

sudo -u#-1 id -u

或者

sudo -u#4294967295 id -u

响应为 1 表明该命令以 root 身份运行（显示 root 的用户 ID）。

苹果信息安全团队的 Joe Vennix 找到并分析该问题。

via: https://www.networkworld.com/article/3446036/linux-sudo-flaw-can-lead-to-unauthorized-privileges.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我非常喜欢 Linux 社区的原因是他们创建了很多有趣的项目，你很少能在任何其他操作系统中找到它们。不久前，我们看了一个名为 Hollywood 的有趣项目，它在类 Ubuntu 系统将终端变成了好莱坞技术情景剧的黑客界面。还有一些其他工具，例如 cowsay、fortune、sl 和 toilet 等，用来消磨时间自娱自乐！它们可能没有用，但这些程序娱乐性不错并且使用起来很有趣。今天，我偶然发现了另一个名为 SUDO 的类似工具。正如名字暗示的那样，你无论何时用大写字母输入 Linux 命令，SUDO 程序都会将它们作为 sudo 用户运行！这意味着，你无需在要运行的 Linux 命令前面输入 sudo。很酷，不是么？

安装 SUDO

提醒一句：

在安装这个程序（或任何程序）之前，请查看源代码（最后给出的链接），并查看是否包含会损害你的系统的可疑/恶意代码。在 VM 中测试它。如果你喜欢或觉得它很有用，你可以在个人/生产系统中使用它。

用 Git 克隆 SUDO 仓库：

$ git clone https://github.com/jthistle/SUDO.git

此命令将克隆 SUDO GIT 仓库的内容，并将它们保存在当前目录下的 SUDO 的目录中。

Cloning into 'SUDO'...
remote: Enumerating objects: 42, done.
remote: Counting objects: 100% (42/42), done.
remote: Compressing objects: 100% (29/29), done.
remote: Total 42 (delta 17), reused 30 (delta 12), pack-reused 0
Unpacking objects: 100% (42/42), done.

切换到 SUDO 目录：

$ cd SUDO/

并使用命令安装它：

$ ./install.sh

该命令将在 ~/.bashrc 文件中添加以下行：

[...]
# SUDO - shout at bash to su commands
# Distributed under GNU GPLv2, @jthistle on github

shopt -s expand_aliases

IFS_=${IFS}
IFS=":" read -ra PATHS <<< "$PATH"

for i in "${PATHS[@]}"; do
    for j in $( ls "$i" ); do
        if [ ${j^^} != $j ] && [ $j != "sudo" ]; then
            alias ${j^^}="sudo $j"
        fi
    done
done

alias SUDO='sudo $(history -p !!)'

IFS=${IFS_}

# end SUDO

它还会备份你的 ~/.bashrc 并将其保存为 ~/.bashrc.old。如果有重大错误，你可以恢复它。

最后，使用命令更新更改：

$ source ~/.bashrc

现在，用大写字母中输入 Linux 命令，将它们作为 Sudo 用户运行

通常我们像下面那样执行需要 sudo/root 权限的命令。

$ sudo mkdir /ostechnix

对么？没错！上面的命令将在根目录（/）中创建名为 ostechnix 的目录。让我们使用 Ctrl + c 取消。

一旦安装了 SUDO，你就可以在不使用 sudo 的情况下输入任何大写 Linux 命令并运行它们。因此，你可以像下面那样运行上面的命令：

$ MKDIR /ostechnix
$ TOUCH /ostechnix/test.txt
$ LS /ostechnix

用大写字母输入 Linux 命令以将其作为 sudo 用户运行

请注意它无法绕过 sudo 密码。你仍然需要键入 sudo 密码才能执行给定的命令。它只会有助于避免在每个命令前面输入 sudo。

相关阅读：

• 如何在 Linux 中没有 sudo 密码运行特定命令
• 如何恢复用户的 sudo 权限
• 如何在 Ubuntu 上为用户授予和删除 sudo 权限
• 如何在 Linux 系统中查找所有 sudo 用户
• 如何在终端中输入密码时显示星号
• 如何更改 Linux 中的 sudo 提示符

当然，输入 sudo 只需几秒钟，所以这不是什么大问题。 我必须告诉这是一个用来消磨时间的有趣且无用的项目。 如果你不喜欢它，那就去学习一些有用的东西吧。 如果你喜欢它，试一试，玩得开心！

资源：

• SUDO GitHub 仓库

via: https://www.ostechnix.com/type-linux-commands-in-capital-letters-to-run-them-as-sudo-user/

作者：sk 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 系统中 root 用户拥有 Linux 中全部控制权力。Linux 系统中 root 是拥有最高权力的用户，可以在系统中实施任意的行为。

如果其他用户想去实施一些行为，不能为所有人都提供 root 访问权限。因为如果他或她做了一些错误的操作，没有办法去纠正它。

为了解决这个问题，有什么方案吗？

我们可以把 sudo 权限发放给相应的用户来克服这种情况。

sudo 命令提供了一种机制，它可以在不用分享 root 用户的密码的前提下，为信任的用户提供系统的管理权限。

他们可以执行大部分的管理操作，但又不像 root 一样有全部的权限。

什么是 sudo？

sudo 是一个程序，普通用户可以使用它以超级用户或其他用户的身份执行命令，是由安全策略指定的。

sudo 用户的访问权限是由 /etc/sudoers 文件控制的。

sudo 用户有什么优点？

在 Linux 系统中，如果你不熟悉一个命令，sudo 是运行它的一个安全方式。

• Linux 系统在 /var/log/secure 和 /var/log/auth.log 文件中保留日志，并且你可以验证 sudo 用户实施了哪些行为操作。
• 每一次它都为当前的操作提示输入密码。所以，你将会有时间去验证这个操作是不是你想要执行的。如果你发觉它是不正确的行为，你可以安全地退出而且没有执行此操作。

基于 RHEL 的系统（如 Redhat (RHEL)、 CentOS 和 Oracle Enterprise Linux (OEL)）和基于 Debian 的系统（如 Debian、Ubuntu 和 LinuxMint）在这点是不一样的。

我们将会教你如何在本文中提及的两种发行版中执行该操作。

这里有三种方法可以应用于两个发行版本。

• 增加用户到相应的组。基于 RHEL 的系统，我们需要添加用户到 wheel 组。基于 Debain 的系统，我们添加用户到 sudo 或 admin 组。
• 手动添加用户到 /etc/group 文件中。
• 用 visudo 命令添加用户到 /etc/sudoers 文件中。

如何在 RHEL/CentOS/OEL 系统中配置 sudo 访问权限？

在基于 RHEL 的系统中（如 Redhat (RHEL)、 CentOS 和 Oracle Enterprise Linux (OEL)），使用下面的三个方法就可以做到。

方法 1：在 Linux 中如何使用 wheel 组为普通用户授予超级用户访问权限？

wheel 是基于 RHEL 的系统中的一个特殊组，它提供额外的权限，可以授权用户像超级用户一样执行受到限制的命令。

注意，应该在 /etc/sudoers 文件中激活 wheel 组来获得该访问权限。

# grep -i wheel /etc/sudoers

## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

假设我们已经创建了一个用户账号来执行这些操作。在此，我将会使用 daygeek 这个用户账号。

执行下面的命令，添加用户到 wheel 组。

# usermod -aG wheel daygeek

我们可以通过下面的命令来确定这一点。

# getent group wheel
wheel:x:10:daygeek

我将要检测用户 daygeek 是否可以访问属于 root 用户的文件。

$ tail -5 /var/log/secure
tail: cannot open /var/log/secure for reading: Permission denied

当我试图以普通用户身份访问 /var/log/secure 文件时出现错误。 我将使用 sudo 访问同一个文件，让我们看看这个魔术。

$ sudo tail -5 /var/log/secure
[sudo] password for daygeek:
Mar 17 07:01:56 CentOS7 sudo: daygeek : TTY=pts/0 ; PWD=/home/daygeek ; USER=root ; COMMAND=/bin/tail -5 /var/log/secure
Mar 17 07:01:56 CentOS7 sudo: pam_unix(sudo:session): session opened for user root by daygeek(uid=0)
Mar 17 07:01:56 CentOS7 sudo: pam_unix(sudo:session): session closed for user root
Mar 17 07:05:10 CentOS7 sudo: daygeek : TTY=pts/0 ; PWD=/home/daygeek ; USER=root ; COMMAND=/bin/tail -5 /var/log/secure
Mar 17 07:05:10 CentOS7 sudo: pam_unix(sudo:session): session opened for user root by daygeek(uid=0)

方法 2：在 RHEL/CentOS/OEL 中如何使用 /etc/group 文件为普通用户授予超级用户访问权限？

我们可以通过编辑 /etc/group 文件来手动地添加用户到 wheel 组。

只需打开该文件，并在恰当的组后追加相应的用户就可完成这一点。

$ grep -i wheel /etc/group
wheel:x:10:daygeek,user1

在该例中，我将使用 user1 这个用户账号。

我将要通过在系统中重启 Apache httpd 服务来检查用户 user1 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart httpd
[sudo] password for user1:

$ sudo grep -i user1 /var/log/secure
[sudo] password for user1:
Mar 17 07:09:47 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/systemctl restart httpd
Mar 17 07:10:40 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/systemctl restart httpd
Mar 17 07:12:35 CentOS7 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/grep -i httpd /var/log/secure

方法 3：在 Linux 中如何使用 /etc/sudoers 文件为普通用户授予超级用户访问权限？

sudo 用户的访问权限是被 /etc/sudoers 文件控制的。因此，只需将用户添加到 sudoers 文件中 的 wheel 组下即可。

只需通过 visudo 命令将期望的用户追加到 /etc/sudoers 文件中。

# grep -i user2 /etc/sudoers
user2 ALL=(ALL) ALL

在该例中，我将使用 user2 这个用户账号。

我将要通过在系统中重启 MariaDB 服务来检查用户 user2 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart mariadb
[sudo] password for user2:

$ sudo grep -i mariadb /var/log/secure
[sudo] password for user2:
Mar 17 07:23:10 CentOS7 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/systemctl restart mariadb
Mar 17 07:26:52 CentOS7 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/grep -i mariadb /var/log/secure

在 Debian/Ubuntu 系统中如何配置 sudo 访问权限？

在基于 Debian 的系统中（如 Debian、Ubuntu 和 LinuxMint），使用下面的三个方法就可以做到。

方法 1：在 Linux 中如何使用 sudo 或 admin 组为普通用户授予超级用户访问权限？

sudo 或 admin 是基于 Debian 的系统中的特殊组，它提供额外的权限，可以授权用户像超级用户一样执行受到限制的命令。

注意，应该在 /etc/sudoers 文件中激活 sudo 或 admin 组来获得该访问权限。

# grep -i 'sudo\|admin' /etc/sudoers

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

假设我们已经创建了一个用户账号来执行这些操作。在此，我将会使用 2gadmin 这个用户账号。

执行下面的命令，添加用户到 sudo 组。

# usermod -aG sudo 2gadmin

我们可以通过下面的命令来确定这一点。

# getent group sudo
sudo:x:27:2gadmin

我将要检测用户 2gadmin 是否可以访问属于 root 用户的文件。

$ less /var/log/auth.log
/var/log/auth.log: Permission denied

当我试图以普通用户身份访问 /var/log/auth.log 文件时出现错误。 我将要使用 sudo 访问同一个文件，让我们看看这个魔术。

$ sudo tail -5 /var/log/auth.log
[sudo] password for 2gadmin:
Mar 17 20:39:47 Ubuntu18 sudo: 2gadmin : TTY=pts/0 ; PWD=/home/2gadmin ; USER=root ; COMMAND=/bin/bash
Mar 17 20:39:47 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by 2gadmin(uid=0)
Mar 17 20:40:23 Ubuntu18 sudo: pam_unix(sudo:session): session closed for user root
Mar 17 20:40:48 Ubuntu18 sudo: 2gadmin : TTY=pts/0 ; PWD=/home/2gadmin ; USER=root ; COMMAND=/usr/bin/tail -5 /var/log/auth.log
Mar 17 20:40:48 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by 2gadmin(uid=0)

或者，我们可以通过添加用户到 admin 组来执行相同的操作。

运行下面的命令，添加用户到 admin 组。

# usermod -aG admin user1

我们可以通过下面的命令来确定这一点。

# getent group admin
admin:x:1011:user1

让我们看看输出信息。

$ sudo tail -2 /var/log/auth.log
[sudo] password for user1:
Mar 17 20:53:36 Ubuntu18 sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/usr/bin/tail -2 /var/log/auth.log
Mar 17 20:53:36 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by user1(uid=0)

方法 2：在 Debian/Ubuntu 中如何使用 /etc/group 文件为普通用户授予超级用户访问权限？

我们可以通过编辑 /etc/group 文件来手动地添加用户到 sudo 组或 admin 组。

只需打开该文件，并在恰当的组后追加相应的用户就可完成这一点。

$ grep -i sudo /etc/group
sudo:x:27:2gadmin,user2

在该例中，我将使用 user2 这个用户账号。

我将要通过在系统中重启 Apache httpd 服务来检查用户 user2 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart apache2
[sudo] password for user2:

$ sudo tail -f /var/log/auth.log
[sudo] password for user2:
Mar 17 21:01:04 Ubuntu18 systemd-logind[559]: New session 22 of user user2.
Mar 17 21:01:04 Ubuntu18 systemd: pam_unix(systemd-user:session): session opened for user user2 by (uid=0)
Mar 17 21:01:33 Ubuntu18 sudo: user2 : TTY=pts/0 ; PWD=/home/user2 ; USER=root ; COMMAND=/bin/systemctl restart apache2

方法 3：在 Linux 中如何使用 /etc/sudoers 文件为普通用户授予超级用户访问权限？

sudo 用户的访问权限是被 /etc/sudoers 文件控制的。因此，只需将用户添加到 sudoers 文件中的 sudo 或 admin 组下即可。

只需通过 visudo 命令将期望的用户追加到 /etc/sudoers 文件中。

# grep -i user3 /etc/sudoers
user3 ALL=(ALL:ALL) ALL

在该例中，我将使用 user3 这个用户账号。

我将要通过在系统中重启 MariaDB 服务来检查用户 user3 是不是拥有 sudo 访问权限。让我们看看这个魔术。

$ sudo systemctl restart mariadb
[sudo] password for user3:

$ sudo tail -f /var/log/auth.log
[sudo] password for user3:
Mar 17 21:12:32 Ubuntu18 systemd-logind[559]: New session 24 of user user3.
Mar 17 21:12:49 Ubuntu18 sudo: user3 : TTY=pts/0 ; PWD=/home/user3 ; USER=root ; COMMAND=/bin/systemctl restart mariadb
Mar 17 21:12:49 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by user3(uid=0)
Mar 17 21:12:53 Ubuntu18 sudo: pam_unix(sudo:session): session closed for user root
Mar 17 21:13:08 Ubuntu18 sudo: user3 : TTY=pts/0 ; PWD=/home/user3 ; USER=root ; COMMAND=/usr/bin/tail -f /var/log/auth.log
Mar 17 21:13:08 Ubuntu18 sudo: pam_unix(sudo:session): session opened for user root by user3(uid=0)

via: https://www.2daygeek.com/how-to-configure-sudo-access-in-linux/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：liujing97 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我有一台部署在 AWS 上的 Ubuntu 系统，在它的里面有一个脚本，这个脚本的原有目的是以一定间隔（准确来说是每隔 1 分钟）去检查某个特定服务是否正在运行，如果这个服务因为某些原因停止了，就自动重启这个服务。但问题是我需要 sudo 权限来开启这个服务。正如你所知道的那样，当我们以 sudo 用户运行命令时，我们应该提供密码，但我并不想这么做，实际上我想做的是以 sudo 用户的身份运行这个服务但无需提供密码。假如你曾经经历过这样的情形，那么我知道一个简单的方法来做到这点。今天，在这个简短的指南中，我将教你如何在类 Unix 的操作系统中运行特定命令而无需 sudo 密码。

就让我们看看下面的例子吧。

$ sudo mkdir /ostechnix
[sudo] password for sk:

正如上面的截图中看到的那样，当我在根目录（/）中创建一个名为 ostechnix 的目录时，我需要提供 sudo 密码。每当我们尝试以 sudo 特权执行一个命令时，我们必须输入密码。而在我的预想中，我不想提供 sudo 密码。下面的内容便是我如何在我的 Linux 机子上运行一个 sudo 命令而无需输入密码的过程。

在 Linux 中运行特定命令而无需 sudo 密码

基于某些原因，假如你想允许一个用户运行特定命令而无需提供 sudo 密码，则你需要在 sudoers 文件中添加上这个命令。

假如我想让名为 sk 的用户去执行 mkdir 而无需提供 sudo 密码，下面就让我们看看该如何做到这点。

使用下面的命令来编辑 sudoers 文件：

$ sudo visudo

将下面的命令添加到这个文件的最后。

sk ALL=NOPASSWD:/bin/mkdir

其中 sk 是用户名。根据上面一行的内容，用户 sk 可以从任意终端执行 mkdir 命令而不必输入 sudo 密码。

你可以用逗号分隔的值来添加额外的命令（例如 chmod），正如下面展示的那样。

sk ALL=NOPASSWD:/bin/mkdir,/bin/chmod

保存并关闭这个文件，然后注销（或重启）你的系统。现在以普通用户 sk 登录，然后试试使用 sudo 来运行这些命令，看会发生什么。

$ sudo mkdir /dir1

看到了吗？即便我以 sudo 特权运行 mkdir 命令，也不会弹出提示让我输入密码。从现在开始，当用户 sk 运行 mkdir 时，就不必输入 sudo 密码了。

当运行除了添加到 sudoers 文件之外的命令时，你将被提示输入 sudo 密码。

让我们用 sudo 来运行另一个命令。

$ sudo apt update

看到了吗？这个命令将提示我输入 sudo 密码。

假如你不想让这个命令提示你输入 sudo 密码，请编辑 sudoers 文件：

$ sudo visudo

像下面这样将 apt 命令添加到 sudoers 文件中：

sk ALL=NOPASSWD:/bin/mkdir,/usr/bin/apt

你注意到了上面命令中 apt 二进制执行文件的路径与 mkdir 的有所不同吗？是的，你必须提供一个正确的可执行文件路径。要找到任意命令的可执行文件路径，例如这里的 apt，可以像下面这样使用 whichis 命令来查看：

$ whereis apt
apt: /usr/bin/apt /usr/lib/apt /etc/apt /usr/share/man/man8/apt.8.gz

如你所见，apt 命令的可执行文件路径为 /usr/bin/apt，所以我将这个路径添加到了 sudoers 文件中。

正如我前面提及的那样，你可以添加任意多个以逗号分隔的命令。一旦你做完添加的动作，保存并关闭你的 sudoers 文件，接着注销，然后重新登录进你的系统。

现在就检验你是否可以直接运行以 sudo 开头的命令而不必使用密码：

$ sudo apt update

看到了吗？apt 命令没有让我输入 sudo 密码，即便我用 sudo 来运行它。

下面展示另一个例子。假如你想运行一个特定服务，例如 apache2，那么就添加下面这条命令到 sudoers 文件中：

sk ALL=NOPASSWD:/bin/mkdir,/usr/bin/apt,/bin/systemctl restart apache2

现在用户 sk 就可以运行 sudo systemctl restart apache 命令而不必输入 sudo 密码了。

我可以再次让一个特别的命令提醒输入 sudo 密码吗？当然可以！只需要删除添加的命令，注销然后再次登录即可。

除了这种方法外，你还可以在命令的前面添加 PASSWD: 指令。让我们看看下面的例子：

在 sudoers 文件中添加或者修改下面的一行：

sk ALL=NOPASSWD:/bin/mkdir,/bin/chmod,PASSWD:/usr/bin/apt

在这种情况下，用户 sk 可以运行 mkdir 和 chmod 命令而不用输入 sudo 密码。然而，当他运行 apt 命令时，就必须提供 sudo 密码了。

免责声明：本篇指南仅具有教育意义。在使用这个方法的时候，你必须非常小心。这个命令既可能富有成效但也可能带来摧毁性效果。例如，假如你允许用户执行 rm 命令而不输入 sudo 密码，那么他们可能无意或有意地删除某些重要文件。我警告过你了！

那么这就是全部的内容了。希望这个能够给你带来帮助。更多精彩内容即将呈现，请保持关注！

干杯！

via: https://www.ostechnix.com/run-particular-commands-without-sudo-password-linux/

作者：SK 选题：lujun9972 译者：FSSlc 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出