第4单元-网络及用户的其它配置.ppt

学习大纲 ifconfig指令的使用 通过DHCP获取IP 设置网关 DNS客户端配置 ping指令的使用 tracerouter指令的使用 route指令的使用 DNS解析指令 FTP客户端工具 su与sudo 10、 su与sudo su指令的使用 sudo的配置与使用 10.2.1、sudo的描述与特点 sudo允许系统管理员分配给普通用户一些合理的“权利”，让他们执行一些只有超级用户或其他特许用户才能完成的任务. sudo能够限制指定用户在指定主机上运行某些命令。 sudo可以提供日志，忠实地记录每个用户使用sudo做了些什么，并且能将日志传到中心主机或者日志服务器。 sudo为系统管理员提供配置文件，允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。 sudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后，用户获得了一张默认存活期为5分钟的“入场券”（默认值可以在编译的时候改变）。超时以后，用户必须重新输入密码。 例：[user1@host1 ~]$sudo system-config-users 14 　　sudo程序本身就是一个设置了SUID位的二进制文件。我们可以检查一下它的权限： 　　$ls -l /usr/bin/sudo　　---s--x--x 2 root root 106832 02-12 17:41 /usr/bin/sudo 　　它的所有者是root，所以每个用户都可以像root那样执行该程序。设置了SUID的程序在运行时可以给使用者以所有者的EUID。这也是为什么设置了SUID的程序必须小心编写。但是设置一个命令文件的SUID和用sudo来运行它是不同的概念，它们起着不同的作用。 　　sudo的配置都记录在/etc/sudoers文件中，我们下面将会详细说明。配置文件指明哪些用户可以执行哪些命令。要使用sudo，用户必须提供一个指定用户名和密码。注意：sudo需要的不是目标用户的密码，而是执行sudo的用户的密码。如果不在sudoers中的用户通过sudo执行命令，sudo会向管理员报告这一事件。用户可以通过sudo -v来查看自己是否是在sudoers 之中。如果是，它还可以更新你的“入场券”上的时间；如果不是，它会提示你，但不会通知管理员。 　　 16 现在，我们一起来看一下神秘的配置文件，学一下如何编写它。让我们从一个简单的例子开始：让用户Foobar可以通过sudo执行所有root可执行的命令。以root身份用visudo打开配置文件，可以看到类似下面几行： 　　# Runas alias specification　　# User privilege specificationroot??? ALL=(ALL) ALL 　　我们一看就明白个差不多了，root有所有权限，只要仿照现有root的例子就行，我们在下面加一行（最好用tab作为空白）： 　　redhat ALL=(ALL)??? ALL 　　保存退出后，切换到foobar用户，我们用它的身份执行命令： 　　[foobar@localhost ~]$ ls /root　　ls: /root: 权限不够　　[foobar@localhost ~]$ sudo ls /root　　PassWord:　　anaconda-ks.cfg Desktop install.log install.log.syslog 　　好了，我们限制一下foobar的权利，不让他为所欲为。比如我们只想让他像root那样使用ls和ifconfig，把那一行改为： 　　foobar localhost=??? /sbin/ifconfig,?? /bin/ls 　　再来执行命令： 　　[foobar@localhost ~]$ sudo head -5 /etc/shadow　　Password: 　　Sorry, user foobar is not allowed to execute /usr/bin/head -5 /etc/shadow as root on localhost.localdomain.　　[foobar@localhost ~]$ sudo /sbin/ifconfigeth0????? Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B... 　　现在让我们来看一下那三个ALL到底是什么意思。第一个ALL是指网络中的主机，我们后面把它改成了主机名，它指明foobar可以在此主机上执行后面的命令。第二个括号里的ALL是指目标用户，也就是以谁的身份去执行命令。最后一个ALL当然就是指命令名了。例如，我们想让f