原文链接：【信创】Linux操作系统上sudo命令详解 | 统信 | 麒麟 | 方德

Hello，大家好啊！今天给大家带来一篇关于在信创操作系统上sudo命令详解的文章。sudo（Superuser Do）命令是Linux系统中非常重要的工具，它允许普通用户以超级用户（root）的身份执行命令，从而对系统进行管理和配置。本文将详细介绍sudo命令的使用方法、配置技巧及安全性考量。欢迎大家分享转发，点个关注和在看吧！

什么是sudo命令？

sudo命令的全称是“Superuser Do”，它允许用户在授权的情况下，以超级用户或其他用户的身份执行命令。与直接使用su切换到root用户不同，sudo仅在当前命令的执行期间授予超级用户权限，这样可以有效地限制权限滥用并提高系统安全性。

一、sudo 的基本用法

1.sudo 的基本语法

sudo command

此命令以 root 权限执行 command。例如：

pdsyw@pdsyw-PC:~/Desktop$ sudo apt-get update

以上命令以超级用户身份更新包列表。

2.提示输入密码

在使用 sudo 时，系统会提示你输入当前用户的密码，而不是 root 的密码。这是为了验证用户身份，确保用户有权使用 sudo。

二、sudo 的选项

1.sudo -s

启动一个以 root 权限运行的交互式 shell。

pdsyw@pdsyw-PC:~/Desktop$ sudo -s

这让你可以临时以 root 身份操作，而不必每次都输入 sudo。

2.sudo -i

模拟 root 用户的登录环境，启动一个新的 shell。

pdsyw@pdsyw-PC:~/Desktop$ sudo -i

与 sudo -s 相比，sudo -i 会加载 root 用户的环境配置文件（如 .bashrc、.profile）。

3.sudo -u <user> command

以指定用户的身份执行命令。例如：

pdsyw@pdsyw-PC:~/Desktop$ sudo -u www-data ls /var/

这会以 www-data 用户的身份列出 /var/ 目录的内容。

4.sudo -k

立即忘记用户的密码缓存，这样下一次使用 sudo 时会再次提示输入密码。

pdsyw@pdsyw-PC:~/Desktop$ sudo -k

5.sudo -l

列出当前用户被允许执行的命令，这取决于 sudoers 文件中的配置。

pdsyw@pdsyw-PC:~/Desktop$ sudo -l

6.sudo !!

以 sudo 重新执行上一条命令，这是一个非常有用的快捷方式。如果你忘记在上一个命令前加 sudo，可以使用：

pdsyw@pdsyw-PC:~/Desktop$ sudo !!

7.sudo visudo

安全编辑 sudoers 文件的工具。visudo 会在保存时检查文件的语法，防止错误配置。

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo

三、sudoers 文件

/etc/sudoers 文件是 sudo 的配置文件，用于定义哪些用户可以执行哪些命令。通常使用 visudo 来编辑这个文件，以确保配置的安全性和正确性。

sudoers 文件的基本格式

sudoers 文件中的一条规则通常是这样的格式：

user host = (runas_user) command

user：可以是单个用户名、用户组（以 % 开头）或 ALL 表示所有用户。

host：表示允许从哪些主机运行命令。通常为 ALL。

runas_user：指定以哪个用户的身份运行命令。通常是 ALL，意味着可以以任何用户身份运行。

command：指定用户可以运行的命令。也可以是 ALL，表示允许运行所有命令。

示例：

pdsyw ALL=(ALL:ALL) ALL

表示用户 pdsyw 可以在所有主机上以任何用户身份运行任何命令。

pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

四、安全性考虑

1.最小权限原则

只授予用户执行其工作所需的最小权限，避免过度授权。

2.避免使用 sudo 执行不必要的命令

以 root 权限执行命令时要非常谨慎，错误的命令可能导致系统严重损坏。

3.慎用 sudo -s 和 sudo -i

在 root shell 中操作时，极易因误操作导致系统问题。

4.定期审查 sudoers 文件

确保没有不必要的用户或命令权限，并删除不再需要的条目。

5.使用命令别名

在 sudoers 文件中，可以使用别名来限制用户只能运行特定的命令集合。

五、特殊用例

1.时间限制

在 sudo 的配置中，时间限制主要是指在用户首次输入密码后的一段时间内，允许用户不需要再次输入密码即可继续使用 sudo 命令。这个时间限制可以通过配置 sudoers 文件中的 timestamp_timeout 参数来控制。在使用 visudo 进行编辑并保存后，配置会立即生效。下次使用 sudo 时，系统会根据你配置的时间限制进行操作。通过合理配置 timestamp_timeout，你可以在安全性与便利性之间取得平衡，既确保系统不受未经授权的操作影响，又让用户在日常操作中更加高效。

1）使用 visudo 编辑 sudoers 文件

建议使用 visudo 命令来编辑 /etc/sudoers 文件，以避免语法错误：

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo

2）配置 timestamp_timeout

在 sudoers 文件中，你可以设置 Defaults 行中的 timestamp_timeout 参数来控制时间限制。timestamp_timeout 的值以分钟为单位，指定用户在输入密码后可以不再提示密码的时间。

例如：

Defaults timestamp_timeout=15

这意味着用户在成功使用 sudo 输入密码后，在接下来的 15 分钟内，不需要再次输入密码。

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

3）设置立即过期

立即过期：如果你将 timestamp_timeout 设置为 0，那么用户每次使用 sudo 命令时都会被要求输入密码。

Defaults timestamp_timeout=0

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

4）设置永久有效

如果你将 timestamp_timeout 设置为负数（例如 -1），用户只需在首次使用 sudo 时输入密码，以后在同一终端会话中将不再需要输入密码，直到终端会话结束或用户手动注销。

Defaults timestamp_timeout=-1

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

5）为特定用户配置时间限制

你可以为特定用户配置不同的时间限制。例如：

Defaults:pdsyw timestamp_timeout=10

这表示 pdsyw 用户在使用 sudo 时，输入密码后的 10 分钟内不需要再次输入密码。

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

6）为特定命令配置不同的时间限制

你也可以对特定命令设置不同的 timestamp_timeout。例如：

Defaults!/usr/bin/apt-get timestamp_timeout=5

这表示使用 apt-get 命令时，密码的有效时间为 5 分钟。

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

7）示例：配置文件中的配置

假设你希望默认的 sudo 密码超时时间为 10 分钟，但对于特定用户 pdsyw，超时时间为 20 分钟，对于命令 /usr/bin/apt-get，密码在 5 分钟后失效。你可以在 sudoers 文件中这样配置：

Defaults timestamp_timeout=10
Defaults:pdsyw timestamp_timeout=20
Defaults!/usr/bin/apt-get timestamp_timeout=5

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

2.NOPASSWD

sudoers 文件中可以指定不需要密码的命令：

pdsyw ALL=(ALL) NOPASSWD: /usr/bin/apt-get

这表示pdsyw 用户可以在不输入密码的情况下使用 apt-get。

pdsyw@pdsyw-PC:~/Desktop$ sudo visudo
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/sudoers

3.环境变量

通过 sudo 执行命令时，可以保留或修改环境变量，这在运行需要特定环境的命令时很有用。使用 sudo -E 来保留用户的环境变量。例如：

sudo -E env

这会以 root 权限运行 env 命令，并输出当前用户的环境变量。

pdsyw@pdsyw-PC:~/Desktop$ sudo -E env

4.sudo的历史记录

sudo 命令的执行记录通常会被写入日志文件，这些日志文件可以用于审计和安全检查。日志文件的位置和详细内容可以在 /etc/sudoers 中配置。

sudo 日志的详细内容

在 sudo 的日志中，你通常可以看到以下信息：

日期和时间：命令执行的确切时间。

主机名：执行命令的主机名称。

用户：执行 sudo 命令的用户。

终端：执行命令的终端设备（如 tty 或者 pts）。

命令：用户实际执行的命令。

pdsyw@pdsyw-PC:~/Desktop$ sudo cat /var/log/auth.log | grep sudo

通过本文的介绍，您应该已经掌握了在信创操作系统上sudo命令的详细使用方法。sudo命令是Linux系统中必不可少的工具，通过正确配置和使用sudo，可以有效地提高系统的安全性和管理效率。如果您觉得这篇文章有用，请分享和转发。同时，别忘了点个关注和在看，以便未来获取更多实用的技术信息和解决方案。感谢大家的阅读，我们下次再见！