sudoers文件控制哪些用户可以执行哪些操作,root用户可使用visudo命令编辑/etc/sudoers文件。
sudoers文件的语法非常简单,总的来说,它定义了一系列映射关系:
<user> <host> ---------- <operator> : <command>
设
置sudoers文件实质上就是操作这样的映射关系,这个映射关系表示允许user在host上以operator的身份执行command指定的命令,
operator默认是root用户。在一个分布式环境中,为了统一管理,通常使用NFS共享文件系统,使用NIS或者LDAP共享账号、服务、主机名等
配置信息,中央管理者在全局范围内维护一份sudoers文件来管理sudo权限,此时,sudoers文件中的host这一项不可缺。
sudoers
非常棒的是把相同设置的entity做成了集合,并且以多种方式定义集合。例如上面的user可以用User_Alias指定,host可以用
Host_Alias定义,operator使用Runas_Alias定义,command_list使用Cmnd_Alias定义,此外还可以使用
/ec/group中的group指定列表。可以使用NOPASSWD,PASSWD,NOEXEC,EXEC这四个标签指定用户如何执行命令。
实例:
[root@jcwkyl grid-avcd]# visudo
User_Alias GRAM_USER = jluser,test,whb,jcwkyl
Host_Alias EXEC_HOST = jcwkyl.gridlab,10.60.59.31,10.60.59.34,node7
Cmnd_Alias XEN = /usr/sbin/xm
GRAM_USER EXEC_HOST = NOPASSWD: XEN
然后保存退出(如果有语法错误退出时会提示)。以上设置表示允许gram用户(jluser,test,whb,jcwkyl)在执行机(EXEC_HOST: jcwkyl.gridlab, 10.60.59.31,10.60.59.34,node7)上执行xm命令。