)
前言
普通用户不能用 root,必须靠sudo 提权。
本篇教你安全、规范、生产可用的 sudo 配置。
一、sudo 是什么?
让普通用户可以执行指定的 root 命令,不需要知道 root 密码。
二、编辑 sudo 配置(必须用 visudo)
bash
运行
visudo三、最常用配置格式
plaintext
用户名 ALL=(ALL) 命令1,命令2,命令3四、实战案例
1. 给用户 zhangsan 所有权限(运维)
plaintext
zhangsan ALL=(ALL) ALL2. 免密 sudo(工作最常用)
plaintext
zhangsan ALL=(ALL) NOPASSWD:ALL3. 只允许重启、查看日志
plaintext
zhangsan ALL=(ALL) /usr/bin/systemctl restart nginx, /usr/bin/tail -f /var/log/*4. 允许组 dev 全部 sudo
plaintext
%dev ALL=(ALL) ALL五、验证是否生效
bash
运行
sudo -l六、生产安全规范
- 不要给开发 NOPASSWD:ALL
- 精准授权命令,最小权限原则
- 禁止 777 权限 + 禁止随意 sudo
)
