Linux系统Sudo命令的使用说明

　　foobar　localhost=NOPASSWD:　　 /bin/cat, /bin/ls

　　再来sudo一下：

　　[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg　Desktop　install.log

　　install.log.syslog

　　当然，你也可以说“某些命令用户foobar不可以运行”，通过使用!操作符，但这不是一个好主意。因为，用!操作符来从ALL中“剔出”一些命令一般是没什么效果的，一个用户完全可以把那个命令拷贝到别的地方，换一个名字后再来运行。

　　四. 日志与安全

　　sudo为安全考虑得很周到，不仅可以记录日志，还能在有必要时向系统管理员报告。但是，sudo的日志功能不是自动的，必须由管理员开启。这样来做：

　　# touch /var/log/sudo

　　# vi /etc/syslog.conf

　　在syslog.conf最后面加一行（必须用tab分割开）并保存：

　　local2.debug　　　　　　　　　　/var/log/sudo

　　重启日志守候进程，

　　ps aux | grep syslogd

　　把得到的syslogd进程的PID（输出的第二列是PID）填入下面：

　　kill –HUP PID

　　这样，sudo就可以写日志了：

　　[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg　

　　Desktop　install.log

　　install.log.syslog

　　$cat /var/log/sudoJul 28 22:52:54 localhost sudo:　 foobar :

　　TTY=pts/1 ; PWD=/home/foobar ; USER=root ; COMMAND=/bin/ls /root

　　不过，有一个小小的“缺陷”，sudo记录日志并不是很忠实：

　　[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null

　　[foobar@localhost ~]$

　　cat /var/log/sudo...Jul 28 23:10:24 localhost sudo:　 foobar : TTY=pts/1 ;

　　PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow

　　重定向没有被记录在案！为什么？因为在命令运行之前，shell把重定向的工作做完了，sudo根本就没看到重定向。这也有个好处，下面的手段不会得逞：

　　[foobar@localhost ~]$ sudo ls /root > /etc/shadowbash: /etc/shadow: 权限不够

　　sudo 有自己的方式来保护安全。以root的身份执行sudo

　　-V，查看一下sudo的设置。因为考虑到安全问题，一部分环境变量并没有传递给sudo后面的命令，或者被检查后再传递的，比如：PATH，HOME，

　　SHELL等。当然，你也可以通过sudoers来配置这些环境变量。

　　如上所见，sudo对于控制和审查root的访问很有帮助，它能让系统管理员更有效，安全地管理系统。掌握sudo的正确使用也是对于系统管理员的良好训练。本文只是初步地介绍了sudo 的使用，了解更多请参考sudoers(5)和sudo(8)手册页。