最简方式是将用户加入sudo(Ubuntu/Debian)或wheel(CentOS/RHEL)组;推荐用visudo精确授权具体命令路径;可对特定命令设NOPASSWD,但禁用NOPASSWD: ALL;用Cmnd_Alias和User_Alias提升可维护性,规则建议存于/etc/sudoers.d/下独立文件。
直接加组是最简方式
多数现代 Linux 发行版(如 Ubuntu/Debian)默认将 sudo 组设为特权组,CentOS/RHEL 则用 wheel 组。只要把用户加入对应组,就能获得完整 sudo 权限:
- Ubuntu/Debian:
sudo usermod -aG sudo username - CentOS/RHEL:
sudo usermod -aG wheel username - 执行后需新开终端或
su - username切换会话才生效
按命令精确授权(推荐)
不希望用户能执行所有命令?用 visudo 编辑规则,限制到具体二进制路径和参数:
- 只允许重启 nginx:
username ALL=(root) /usr/bin/systemctl restart nginx - 允许多个命令,用逗号分隔:
username ALL=(root) /bin/journalctl -u nginx, /usr/bin/systemctl status nginx - 路径必须写全(不能用
systemctl,得写/usr/bin/systemctl),否则 sudo 拒绝执行
免密执行与安全平衡
开发或自动化场景常需跳过密码提示,但要明确限定范围:
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~