充分发挥 sudo 的作用

核心提示： visudo 放在 /usr/local/sbin 中，使用它编辑 sudoers 文件，充分发挥 sudo 的作用(2)，sudoers 文件（如果还没有的话）放在 /etc 中，这个文件包含 sudo 条目，如果有许多静态条目（在有 sudo 的每台机器上都运行相同的命令），那么把这些命令放

visudo 放在 /usr/local/sbin 中。使用它编辑 sudoers 文件。

sudoers 文件（如果还没有的话）放在 /etc 中。这个文件包含 sudo 条目。

sudoers 文件

/etc/sudoers（通常简称为 sudoers）文件控制谁可以使用 sudo 以及使用 sudo 运行什么。 root 用户或具有根特权的用户可以设置这些条目。sudoers 中 sudo 条目最基本的形式如下：

<user>　<host>　=　<user　to　alias>　<password　required>　<　command　to　run>　

作为某一用户运行以下命令，可以看到此用户能够使用 sudo 运行什么命令以及其他限制：

sudo　-l　

运行 sudo 命令的一般格式为：

sudo　-u　<　user　to　run　as>　<command　to　run>　

日志记录

通过在 /etc/syslog.conf 文件中使用以下设置，可以使用 syslog 在 /var/adm/messages 中记录通过 sudo 运行的所有命令：

*.debug　　/var/adm/messages　

但是，我认为 sudo 命令应该记录在一个单独的文件中，这样便于查看已经运行的 sudo 命令。当然，这也有助于监视失败的 sudo 活动。创建 /var/adm/sudo.log 文件，然后在 /etc/sudoers 文件中添加以下条目：

Defaults　logfile=/var/adm/sudo.log　
Defaults　!syslog　

现在，无论执行成功还是失败，所有 sudo 活动都会记录在 /var/adm/sudo.log 中。

管理 sudoers

随着时间的推移，sudoers 文件中的条目会越来越多。这是因为服务器上设置的应用程序环境越来越多，也可能因为进一步分派当前任务以隔离责任。随着条目增加，输入错误会越来越常见。让 root 用户更方便地管理 sudoers 文件是有积极意义的。我们来讨论两种实现这个目标（至少建立良好的标准）的方法。如果有许多静态条目（在有 sudo 的每台机器上都运行相同的命令），那么把这些命令放在一个单独的 sudoers 文件中，这可以使用 include 指令来实现。