linux是多用户多任务的分时操作系统,共享该系统的用户往往不只一个。

但由于root账户密码的敏感性和root账号的无限制权限, 有必要通过useradd创建一些普通用户, 只让他们拥有不完全的权限; 如有必要，再来申请执行一些root权限的指令。 sudo就是来解决这个需求的。 sudo命令的执行流程是: 当前用户转换到root, 然后以root身份执行命令, 执行完成后, 直接退回到当前用户. 需要注意的是: 执行sudo时输入的密码, 是当前用户的密码, 并非root密码.

赋予用户sudo操作的权限 [root@zhang ~]# visudo #在99行下面添加以下内容 zhang ALL=(ALL) ALL #如果是命令使用下面的方式：zhang ALL=(ALL) /bin/touch（多个权限用“，”分开，ALL所有权限，NOPASSWD: ALL免密码）

注： 一般常用sudo命令来临时获得root权限执行一些特权命令。这很方便，但是也有一个问题： 普通用户可以通过sudo命令完成用户的增删和密码的更改，甚至是对root用户的密码更改！！！ 如：

xxx@yyy$:sudo passwd root Input the new UNIX pass word: 这样就可以直接越过root直接修改root的密码。这是非常危险的。

1、 groupadd admin 创建一个admin用户组，后边在设置权限时会用到

2、usermod -a -G admin [用户] 将用户添加到admin组

3、在这里可以通过 /etc/sudoers 文件限制

$:sudo visudo 注意，这命令在最后修改sudoers文件中，也要加以限制，否则还可以通过这个命令恢复。

在这个文件中修改默认的以下两行：

%admin ALL=(ALL) ALL %sudo ALL=(ALL) ALL 为以下：

%admin ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel %sudo ALL=/usr/sbin/,/sbin/,/usr/bin/,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel