mysql等多個文件6-13sudoeretc sudoers配置范例以及解釋

1、/etc/sudoers 配置范例以及解釋示例下面是 sudoers 條目的示例，你可以在 sudoers 的man page 中找到。首先,定義別名：# User alias specificationUser_Alias FULLTIMERS = kevin, tube, mark User_Alias PARTTIMERS = shrek, todd, jazz User_Alias WEBMASTERS = mandy, alix, tom# Runas alias specification Runas_Alias OP = root, operator Runas_Alias DB

2、 =, oracle# Host alias specificationHost_Alias SPARC = bigtime, eclipse, moet, anchor : SGI = grolsch, dandelion, black :ALPHA = widget,lamus, foobar : HPPA = boa, nag,Host_Alias CUNETS = /Host_Alias CSNETS = , /24, Host_Alias SERVERS = master, www, ns Host_Alias CDROM = orion, perseus, hercules# Cm

3、nd alias specificationCmnd_Alias DUMPS = /usr/bt, /usr/sbin/dump, /usr/sbin/rdump,/usr/sbin/restore, /usr/sbin/rrestore接下來改寫了一些編譯進(jìn)的默認(rèn)值。希望 sudo 在所有情況下使用 auth 設(shè)施在系統(tǒng)日志中作。不想總是輸出初次使用 sudo 的提示，并且用戶 kevin 使用sudo 不需要口令。另外，為SERVERS Host_Alias 中的主機(jī)一個附加的本地日志文件，并且由于這個日志需要保存許多年，要在日志的每一行中加入年份信息。實(shí)際上決定誰能運(yùn)行什么的是用戶說明部

4、分：讓root 和wheel 組的成員可以在任何主機(jī)上以任何人的運(yùn)行任何命令。專職系統(tǒng)管理員(kev驗(yàn)證。ube 和mark)可以在任何主機(jī)上執(zhí)行任何命令而不需要進(jìn)行系統(tǒng)管理員(shrek、todd 和jazz)可以在任何主機(jī)上運(yùn)行任何命令,但他們首先必須進(jìn)行驗(yàn)證(因?yàn)檫@個條目沒有 NOPASSWD)。PARTTIMERS ALL = ALLFULLTIMERS ALL = NOPASSWD: ALLroot ALL = (ALL) ALL%wheel ALL = (ALL) ALL# Override built in defaults Defaults syslog=auth Defaul

5、ts:FULLTIMERS !lecture Defaults:kevin !authenticateDefaultsSERVERS log_year, logfile=/var/log/sudo.logCmnd_Alias KILL = /usr/bin/killCmnd_Alias PRING = /usr/sbin/lpc, /usr/bin/lprm Cmnd_Alias SHUTDOWN = /usr/sbin/shutdownCmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/faslt Cmnd_Alias REBOOT = /usr/sbin

6、/reboot, /usr/sbin/fastboot Cmnd_Alias SS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, /usr/local/bcsh, /usr/bin/rsh, /usr/local/bin/zsh Cmnd_Alia= /usr/bin/su用 戶 jack 可 以 在 CSNETS 別 名 （ 網(wǎng) 絡(luò) 、 和）中的機(jī)器上運(yùn)行任何命令。在這些網(wǎng)絡(luò)中,只有 明確的給出了掩碼(用 CIDR 方式)，指明這是個 C 類網(wǎng)。對 CSNETS 中的其他網(wǎng)絡(luò)來說,如果本地主機(jī)的掩碼匹配的話將使用本機(jī)的掩碼。用戶lisa 可以在CUNE

7、TS 別名（B 類網(wǎng)絡(luò) ）中的任何主機(jī)上執(zhí)行任何命令。用戶 operator 可以執(zhí)行令被限制在一個簡單的 maenance 中。這里就是和備令。份、殺死進(jìn)程、打印系統(tǒng)、關(guān)閉系統(tǒng)和任何在/usr/oper/bin/中用戶pete 可以修改 HPPA 上除了 root 以外任何用戶的口令。注意,這里人為 passwd不會在命令行上使用多個用戶名。用戶可以在 SPARC 和 SGI 上以任何在 OP Runas_Alias 中列出的用戶（ root 和operator）的運(yùn)行任何命令。用戶 jim 可以在 biglab 網(wǎng)絡(luò)用戶組中的機(jī)器上運(yùn)行任何命令。因?yàn)?biglab 前面加上了前綴“+”，所

8、以 sudo 知道這是一個網(wǎng)絡(luò)用戶組。網(wǎng)絡(luò)用戶組secretaries 中的用戶需要幫助管理需要允許他們在任何機(jī)器上執(zhí)行這些命令。和進(jìn)行增刪用戶的工作，所以用戶 fred 可以在 DB Runas_Alias （命令而不需要提供口令。或 oracle）上以任何人的執(zhí)行任何fred ALL = (DB) NOPASSWD: ALL+secretaries ALL = PRING, /usr/bin/adduser, /usr/bin/rmuserjim +biglab = ALLbob SPARC = (OP) ALL : SGI = (OP) ALLjoe ALL = /usr/bin/su

9、operator用戶 joe 只能 su 成operator.pete HPPA = /usr/bin/passwd A-z*, !/usr/bin/passwd rootoperator ALL = DUMPS, KILL, PRING, SHUTDOWN, HALT, REBOOT,/usr/oper/bin/lisa CUNETS = ALLjack CSNETS = ALL用戶john 可以在ALPHA 上su 成除root 的任何人，但是不允許他給 su 加上任何標(biāo)志執(zhí)行。用戶 jen 可以在除了 SERVERS Host_Alias （master、何機(jī)器上執(zhí)行任何命令。,、www

10、 和 ns)以外的任用戶jill 可以在任何 SERVERS Host_Alias 中的機(jī)器上運(yùn)行/usr/bin/下除了屬于 SUS Cmnd_Aliases 外的任何命令。和S用戶steve 可以在任何CSNET 中的機(jī)器上執(zhí)行mands/中的所有命令，但是只能以 operator 的。用戶 matt 應(yīng)該可以在他自己的工作站 valkyrie 上殺死掛起的進(jìn)程。任何在 WEBMASTERS User_Alias （mandy、alix 和 tom）中的用戶都能夠在主機(jī)www 上以 www（網(wǎng)頁的所有者）的執(zhí)行任何命令，或者簡單的 su 成www。所有的用戶都應(yīng)該能夠在 CDROM Hos

11、t_Alias （orion、perseus 和hercules)中的主機(jī)上 mount 和unmount 光盤驅(qū)動器而不需要輸令。對用戶來說敲入這么長令有些冗長而乏味，所以把它封裝在一個 s中是一個最佳的選擇。安全要點(diǎn)使用!來從 ALL 中減去命令一般來說不會產(chǎn)生預(yù)期作用，用戶可以簡單的通過把希望執(zhí)行令改名執(zhí)行的法子來繞過限制。例如：這并不會bill 執(zhí)行 SU 和SS 中列出令。他只需要把這些命令改一個名字，或者從一個編輯器或者其他程序中調(diào)用 s該經(jīng)過深思熟慮。就可以運(yùn)行了，所以這種類型的限制至少應(yīng)bill ALL = ALL, !SU, !SSALL CDROM = NOPASSWD: /sbin/umount /CDROM,/sbount -o nosuid,nodev /dev/cd0a /CDROMWEBMASTERS www = (www) ALL, (root) /usr/bin/su wwwmatt valkyrie = KILLsteve CSNETS = (operator)mands/jill S