sudo 是linux下常用的允许普通用户使用超级用户权限的工具;

允许系统管理员让普通用户执行一些或者全部的root命令，如halt，reboot，su等等。这样不仅减少了root用户的登陆和管理时间，同样也提高了安全性。Sudo不是对shell的一个代替，它是面向每个命令的。它的特性主要有这样几点：

• 1.sudo能够限制用户只在某台主机上运行某些命令。
• 2.sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。
• 3.sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票（这个值可以在编译的时候改变）。
• 4.sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers

用法:sudo command

权限：在 /etc/sudoers 中有出现的使用者

说明：以系统管理者的身份执行指令，也就是说，经由 sudo 所执行的指令就好像是 root 亲自执行

参数：

-V 显示版本编号

-h 会显示版本编号及指令的使用方式说明

-l 显示出自己（执行 sudo 的使用者）的权限

-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码

-k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）

-b 将要执行的指令放在背景执行

-p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称

-u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）

-s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell

-H 将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是系统管理者 root ）

command 要以系统管理者身份（或以 -u 更改为其他人）执行的指令

例如：

sudo -V

sudo -h

sudo -l

sudo -v

sudo -k

sudo -s

sudo –H

设置格式：

XXX ALL=(ALL) ALL (这里的XXX是用户名)

YOUuser ALL=(ALL) ALL

%YOUuser ALL=(ALL) ALL

YOUuser ALL=(ALL) NOPASSWD: ALL

%YOUuser ALL=(ALL) NOPASSWD: ALL

• 第1行:允许用户youuser执行sudo命令(需要输入密码).
• 第2行:允许用户组youuser里面的用户执行sudo命令(需要输入密码).
• 第3行:允许用户youuser执行sudo命令,并且在执行的时候不输入密码.
• 第4行:允许用户组youuser里面的用户执行sudo命令,并且在执行的时候不输入密码.

撤销sudoers文件写权限,命令:

chmod u-w /etc/sudoers

示例

新创建的用户并不能使用sudo命令，需要给他添加授权。另外sudo命令的授权管理是在sudoers文件里的。

[hadoop@localhost ~]$ whereis sudoers

sudoers: /etc/sudoers /etc/sudoers.d /usr/share/man/man5/sudoers.5.gz

[hadoop@localhost ~]$ ll /etc/sudoers

-r--r-----. 1 root root 3938 6月 7 2017 /etc/sudoers

[hadoop@localhost ~]$

添加w权限，即添加读权限

[root@localhost ~]# chmod -v u+w /etc/sudoers

添加读权限之后，就可以追加新的用户了

[root@localhost ~]# vi /etc/sudoers

最后，收回写权限

[root@localhost ~]# chmod -v u-w /etc/sudoers

mode of "/etc/sudoers" changed from 0640 (rw-r-----) to 0440 (r--r-----)

[root@localhost ~]# ll /etc/sudoers

-r--r-----. 1 root root 3993 7月 20 15:17 /etc/sudoers

[root@localhost ~]#

登录新用户hadoop1，通过sudo 命令设置新密码

[root@localhost ~]# su - hadoop1