Linux 系统中的超级权限的控制

       实例五：练习用户组在/etc/sudoers中写法；

　　如果用户组出现在/etc/sudoers 中，前面要加%号，比如%beinan ，中间不能有空格；

　　%beinan ALL=/usr/sbin/*,/sbin/*

　　如果我们在 /etc/sudoers 中加上如上一行，表示beinan用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行 /usr/sbin和/sbin目录下的所有命令；

　　实例六：练习取消某类程序的执行；

　　取消程序某类程序的执行，要在命令动作前面加上!号； 在本例中也出现了通配符的*的用法；

　　beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把这行规则加入到/etc/sudoers中；但您得有beinan这个用户组，并且beinan也是这个组中的才行；

　　本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk 程序除外；

　　[beinan@localhost ~]$ sudo -l
　　Password: 注：在这里输入beinan用户的密码；
　　User beinan may run the following commands on this host:
　　(root) /usr/sbin/*
　　(root) /sbin/*
　　(root) !/sbin/fdisk

　　[beinan@localhost ~]$ sudo /sbin/fdisk -l
　　Sorry, user beinan is not allowed to execute '/sbin/fdisk -l' as root on localhost.

　　注：不能切换到root用户下运行fdisk 程序；

　　实例七：别名的运用的实践；

　　假如我们就一台主机localhost，能通过hostname 来查看，我们在这里就不定义主机别名了，用ALL来匹配所有可能出现的主机名；并且有beinan、linuxsir、lanhaitun 用户；主要是通过小例子能更好理解；sudo虽然简单好用，但能把说的明白的确是件难事；最好的办法是多看例子和man soduers ；

　　User_Alias SYSADER=beinan,linuxsir,%beinan
　　User_Alias DISKADER=lanhaitun
　　Runas_Alias OP=root
　　Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
　　Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注：定义命令别名DSKCMD，下有成员parted和fdisk ；
　　SYSADER ALL= SYDCMD,DSKCMD
　　DISKADER ALL=(OP) DSKCMD

　　注解：

　　第一行：定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员，用户组前面必须加%号；
　　第二行：定义用户别名 DISKADER ，成员有lanhaitun
　　第三行：定义Runas用户，也就是目标用户的别名为OP，下有成员root
　　第四行：定义SYSCMD命令别名，成员之间用,号分隔，最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码；
　　第五行：定义命令别名DSKCMD，下有成员parted和fdisk ；
　　第六行： 表示授权SYSADER下的所有成员，在所有可能存在的主机名的主机下运行或禁止 SYDCMD和DSKCMD下定义的命令。更为明确遥说，beinan、linuxsir和beinan用户组下的成员能以root身份运行 chown 、chmod 、adduser、passwd，但不能更改root的密码；也可以以root身份运行 parted和fdisk ，本条规则的等价规则是；

　　beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

　　第七行：表示授权DISKADER 下的所有成员，能以OP的身份，来运行 DSKCMD ，不需要密码；更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令；其等价规则是：

　　lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk

　　可能有的弟兄会说我想不输入用户的密码就能切换到root并运行SYDCMD和DSKCMD 下的命令，那应该把把NOPASSWD:加在哪里为好？理解下面的例子吧，能明白的；

　　SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

　　5、/etc/sudoers中其它的未尽事项；

　　在授权规则中，还有 NOEXEC:和EXEC的用法，自己查man sudoers 了解；还有关于在规则中通配符的用法，也是需要了解的。这些内容不多说了，毕竟只是一个入门性的文档。soduers配置文件要多简单就有多简单，要多难就有多难，就看自己的应用了。