充分发挥 sudo 的作用

核心提示： 在运行 visudo、保存并退出文件时，visudo 会让您按 Enter 开始编辑包含 sudoers 文件，充分发挥 sudo 的作用(4)，与主文件一样，编辑此文件之后，会提示 devuat 组中的用户输入密码，用户 “charlie” 是这两个组（devops 和

在运行 visudo、保存并退出文件时，visudo 会让您按 Enter 开始编辑包含 sudoers 文件。与主文件一样，编辑此文件之后，sudo 会指出语法错误（如果有的话）。另外，可以使用

visudo　-f　/etc/sudo_static.rs6000
直接编辑包含文件。

使用组

属于有效的 AIX 组的用户可以包含在 sudoers 中，这样针对单一用户的条目更少，sudoers 文件更容易管理。在使用组重新组织 sudoers 条目时，可能需要在 AIX 中创建一个新的组，其中只包含允许使用 sudo 运行某些命令的用户。要想使用组，只需在条目前面加上前缀 ‘%’。假设您有 devops 和 devuat 组，其中包含以下用户：

#　lsgroup　-f　-a　users　devops　
　
devops:　
　　　　users=joex,delta,charlie,tstgn　
　
　#　lsgroup　-f　-a　users　devuat　
devuat:　
　　　　users=zebra,spsys,charlie　

允许 devops 组作为 dbdftst 运行 /usr/local/bin/data_ext.sh 命令。

允许 devuat 组作为 dbukuat 运行命令 /usr/local/bin/data_mvup.sh 和 /usr/local/bin/data_rep.sh。

可以设置以下 sudoers 条目：

%devops　rs6000　=　(dbdftst)　NOPASSWD:　/usr/local/bin/data_ext.sh　
%devuat　rs6000　=　(dbukuat)　/usr/local/bin/data_mvup.sh　
%devuat　rs6000　=　(dbukuat)　/usr/local/bin/data_rep.sh　

注意，对于前面的条目，devops 组中的用户在执行 /usr/local/bin/data_ext.sh 时不会提示他们输入密码。但是，会提示 devuat 组中的用户输入密码。用户 “charlie” 是这两个组（devops 和 devuat）的成员，所以他可以执行以上所有命令。