visudo使用方法

visudo与/etc/sudoers

从上面的说明我们可以知道，除了root 之外的其他账号，若想要使用sudo 执行属于root 的权限指令，则root 需要先使用visudo 去修改/etc/sudoers ，让该账号能够使用全部或部分的root 指令功能。为什么要使用visudo 呢？这是因为/etc/sudoers 是有设定语法的，如果设定错误那会造成无法使用sudo 指令的不良后果。因此才会使用visudo 去修改，并在结束离开修改画面时，系统会去检验/etc/sudoers 的语法就是了。

一般来说，visudo 的设定方式有几种简单的方法喔，底下我们以几个简单的例子来分别说明：

I. 单一用户可进行root 所有指令，与sudoers 文件语法：

假如我们要让vbird1 这个账号可以使用root 的任何指令，基本上有两种作法，第一种是直接透过修改/etc/sudoers ，方法如下：

[root@study ~]# visudo

....(前面省略)....

root ALL=(ALL) ALL <==找到这一行，大约在98 行左右

vbird1 ALL=(ALL) ALL <==这一行是你要新增的！

....(底下省略)....

有趣吧！其实visudo 只是利用vi 将/etc/sudoers 文件呼叫出来进行修改而已，所以这个文件就是/etc/sudoers 啦！这个文件的设定其实很简单，如上面所示，如果你找到98 行(有root 设定的那行) 左右，看到的数据就是：

使用者账号登入者的来源主机名=(可切换的身份) 可下达的指令

root ALL=(ALL) ALL <==这是默认值

上面这一行的四个组件意义是：

1.『使用者账号』：系统的哪个账号可以使用sudo 这个指令的意思；

2.『登入者的来源主机名』：当这个账号由哪部主机联机到本Linux 主机，意思是这个账号可能是由哪一部网络主机联机过来的，这个设定值可以指定客户端计算机(信任的来源的意思)。默认值root 可来自任何一部网络主机

3.『(可切换的身份)』：这个账号可以切换成什么身份来下达后续的指令，默认root 可以切换成任何人；

4.『可下达的指令』：可用该身份下达什么指令？这个指令请务必使用绝对路径撰写。预设root 可以切换任何身份且进行任何指令之意。

那个ALL 是特殊的关键词，代表任何身份、主机或指令的意思。所以，我想让vbird1 可以进行任何身份的任何指令，就如同上表特殊字体写的那样，其实就是复制上述默认值那一行，再将root 改成vbird1 即可啊！此时『vbird1 不论来自哪部主机登入，他可以变换身份成为任何人，且可以进行系统上面的任何指令』之意。修改完请储存后离开vi，并以vbird1 登入系统后，进行如下的测试看看：

[vbird1@study ~]$ tail -n 1 /etc/shadow <==注意！身份是vbird1

tail: cannot open `/etc/shadow' for reading: Permission denied

# 因为不是root 嘛！所以当然不能查询/etc/shadow

[vbird1@study ~]$ sudo tail -n 1 /etc/shadow <==透过sudo

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

#1) Respect the privacy of others. <==这里仅是一些说明与警示项目

#2) Think before you type.

#3) With great power comes great responsibility.

[sudo] password for vbird1: <==注意啊！这里输入的是『vbird1 自己的密码』

pro3:$6$DMilzaKr$OeHeTDQPHzDOz/u5Cyhq1Q1dy...:16636:0:99999:7:::

# 看！vbird1 竟然可以查询shadow ！

注意到了吧！vbird1 输入自己的密码就能够执行root 的指令！所以，系统管理员当然要了解vbird1 这个用户的『操守』才行！否则随便设定一个用户，他恶搞系统怎办？另外，一个一个设定太麻烦了，能不能使用群组的方式来设定呢？参考底下的第二种方式吧。

II.利用wheel 群组以及免密码的功能处理visudo

我们在本章前面曾经建立过pro1, pro2, pro3 ，这三个用户能否透过群组的功能让这三个人可以管理系统？可以的，而且很简单！同样我们使用实际案例来说明：

[root@study ~]# visudo <==同样的，请使用root 先设定

....(前面省略)....

%wheel A LL=(ALL) ALL <==大约在106 行左右，请将这行的# 拿掉！

# 在最左边加上% ，代表后面接的是一个『群组』之意！改完请储存后离开

[root@study ~]# usermod -a -G wheel pro1 <==将pro1 加入wheel 的支持

上面的设定值会造成『任何加入wheel 这个群组的使用者，就能够使用sudo 切换任何身份来操作任何指令』的意思。你当然可以将wheel 换成你自己想要的群组名。接下来，请分别切换身份成为pro1 及pro2 试看看sudo 的运作。

[pro1@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是pro1

....(前面省略)....

[sudo] password for pro1: <==输入pro1 的密码喔！

pro3:$6$DMilzaKr$OeHeTDQPHzDOz/u5Cyhq1Q1dy...:16636:0:99999:7:::

[pro2@study ~]$ sudo tail -n 1 /etc/shadow <==注意身份是pro2

[sudo] password for pro2: <==输入pro2 的密码喔！

pro2 is not in the sudoers file. This incident will be reported.

# 仔细看错误讯息他是说这个pro2 不在/etc/sudoers 的设定中！

这样理解群组了吧？如果你想要让pro3 也支持这个sudo 的话，不需要重新使用visudo ，只要利用usermod 去修改pro3 的群组支持，让pro3 用户加入wheel 群组当中，那他就能够进行sudo 啰！好了！那么现在你知道为啥在安装时建立的用户，就是那个dmstai 预设可以使用sudo 了吗？请使用『id dmtsai 』看看，这个用户是否有加入wheel 群组呢？嘿嘿！了解乎？

Tips 从CentOS 7 开始，在sudoers 文件中，预设已经开放%wheel 那一行啰！以前的CentOS 旧版本都是没有启用的呢！

简单吧！不过，既然我们都信任这些sudo 的用户了，能否提供『不需要密码即可使用sudo 』呢？就透过如下的方式：

[root@study ~]# visudo <==同样的，请使用root 先设定

....(前面省略)....

%wheel A LL=(ALL) NOPASSWD: ALL <==大约在109 行左右，请将# 拿掉！

# 在最左边加上% ，代表后面接的是一个『群组』之意！改完请储存后离开

重点是那个NOPASSWD 啦！该关键词是免除密码输入的意思喔！