Linux系统为普通用户设置sudo权限

一.关于sudo

 sudo命令提供了一种机制，它可以在不用分享 root 用户的密码的前提下，为信任的用户提供系统的管理权限。他们可以执行大部分的管理操作，但又不像 root一样有全部的权限。sudo是一个程序，普通用户可以使用它以超级用户或其他用户的身份执行命令，是由安全策略指定的。sudo 用户的访问权限是由/etc/sudoers文件控制的。

二.sudo的工作过程

当用户执行sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo的权限
​ 确认用户具有可执行sudo的权限后，让用户输入用户自己的密码确认
若密码输入成功，则开始执行sudo后续的命令
​ root执行sudo时不需要输入密码(sudoers文件中有配置root ALL=(ALL) ALL这样一条规则)
​ 若欲切换的身份与执行者的身份相同，也不需要输入密码。

三.为普通用户配置sudo权限

执行visudo命令等价于执行vim /etc/sudoers命令，但是在保存退出时，visudo会检查内部语法，避免用户输入错误信息，所以推荐使用visudo。另外执行visudo命令需要root权限。为普通用户配置sudo权限有多种方法，这里介绍使用将用户设置为wheel用户组的方法。

1 .把普通用户的附属组更改为wheel，使其具有sudo权限
wheel是基于RHEL的系统中的一个特殊用户组，它提供额外的权限,可以授权用户像超级用户一样执行受到限制的命令。
#系统以及默认创建好这个用户组了

[root@node5 ~]# grep wheel /etc/group
wheel:x:10:

2. 首先要保证/etc/sudoers文件中的“%wheel ALL=(ALL) ALL”这一行不被注释

[root@node5 ~]# cat /etc/sudoers
#确保/etc/sudoers文件中“%wheel   ALL=(ALL)   ALL”这一行不被注释
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)   ALL
## Same thing without a password
# %wheel    ALL=(ALL)   NOPASSWD: ALL

3. 假设添加的普通用户为nginx,更改nginx用户的附属组为wheel，使nginx用户具有sudo权限

#nginx用户是已经创建好的用户
[root@node5 ~]# id nginx
uid=8000(nginx) gid=8000(nginx) groups=8000(nginx)#更改nginx用户的附属组为wheel
[root@node5 ~]# usermod -aG wheel nginx[root@node5 ~]# id nginx
uid=8000(nginx) gid=8000(nginx) groups=8000(nginx),10(wheel)[root@node5 ~]# grep wheel /etc/group
wheel:x:10:nginx

使用su - 用户名命令可以查看用户最近一次登录的时间

[root@node5 ~]# su - nginx
Last login: Wed Oct 28 16:48:36 CST 2020 on pts/0

四、验证设置是否生效

使用nginx用户是查看不了/etc/shadow文件的

[nginx@node5 ~]$ tail -f /etc/shadow
tail: cannot open ‘/etc/shadow’ for reading: Permission denied
tail: no files remaining

但是前面加上sudo之后，输入nginx密码就可以查看/etc/shadow文件了

[nginx@node5 ~]$ sudo tail -f /etc/shadow
[sudo] password for nginx: 
rpc:!!:18023:0:99999:7:::
rpcuser:!!:18023::::::
nfsnobody:!!:18023::::::
tss:!!:18341::::::
stick:$6$yKQtTFMB$YszPx1AOZQfV91stJ4NXmR/DoLU2DjluS5uycrFexU4.yMCw7kjkyQYKIF7UcE4PPCAsM.QyKaDIAgOY6zbrn/:18550:0:99999:7:::

注意：设置好后，最好让普通用户退出当前会话后或重新建立连接，执行sudo命令才会生效。