说明

  通过sudo命令，可以让普通用户在执行指定命令或程序上，拥有超级管理员的权限。并有针对性将不同的命令授予指定的普通用户，同时普通用户不需要知道root的密码就可以得到授权，授权的方式可以通过visudo配置管理。

格式

  sudo [option]

常用参数

• -V 显示版本编号
• -h 会显示版本编号及指令的使用方式说明
• -l 显示出自己（执行 sudo 的使用者）的权限
• -v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码
• -k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）
• -b 将要执行的指令放在背景执行
• -p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称
• -u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）
• -s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell
• -H 将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是系统管理者 root ）
• command 要以系统管理者身份（或以 -u 更改为其他人）执行的指令

示例

1、没有通过visudo配置然后查看root家目录
[skip@localhost ~]$ ls /root/ #没有权限
ls: cannot open directory /root/: Permission denied
[skip@localhost ~]$ sudo ls /root/ #加了sudo命令，提示输入密码，但是最后也不行

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for skip:  #这里输入密码
skip is not in the sudoers file.  This incident will be reported. #提示该用户没有在sudoers文件里


2、通过visudo配置，在root对应的行下添加如下信息：保存
[root@localhost ~]# visudo
98 root    ALL=(ALL)   ALL
99 skip    ALL=(ALL)   ALL #添加改行信息，99不要是行号

[skip@localhost ~]$ ls /root/ #提示没权限
ls: cannot open directory /root/: Permission denied
[skip@localhost ~]$ sudo ls -l /root/ #使用sudo命令
[sudo] password for skip:  #输入密码，列表正常显示
total 1180992
-rw-------.  1 root  root        815 May  5 13:20 anaconda-ks.cfg
-rw-r--r--.  1 root  root  119914627 Mar 29 10:47 go1.10.1.linux-amd64.tar.gz
drwxr-xr-x.  7 root  root       4096 May  6 03:26 memcached-3.0.4
-rw-r--r--.  1 root  root      78776 Nov 21 00:02 memcached-3.0.4.tgz
-rw-r--r--.  1 root  root   99406523 Apr 13 14:27 mongodb-linux-x86_64-rhel70-3.6.4.tgz
-rw-r--r--.  1 root  root  328563044 May  5 06:14 mysql-5.6.40-linux-glibc2.12-x86_64.tar.gz
-rw-r--r--.  1 root  root  641798603 Apr 17 07:07 mysql-5.7.21-linux-glibc2.12-x86_64.tar.gz
drwxr-xr-x.  9 mysql mysql      4096 May  5 13:48 nginx-1.12.2
-rw-r--r--.  1 root  root     981687 Oct 17  2017 nginx-1.12.2.tar.gz
-rw-r--r--.  1 nginx wheel     22710 Apr 25 07:28 package.xml
-rw-r--r--.  1 root  root        160 May 13 05:41 pass.txt
drwxrwxr-x. 17 root  root       4096 May  5 17:20 php-7.2.5
-rw-r--r--.  1 root  root   18305092 May  5 09:01 php-7.2.5.tar.gz
drwxr-xr-x.  9 root  root       4096 May  6 03:30 redis-4.0.2
-rw-r--r--.  1 root  root     212617 Apr 25 07:37 redis-4.0.2.tgz
drwxr-xr-x.  3 root  root       4096 May  7 22:45 test

总结

1、sudo命令提示输入密码，输入的当前用户的密码，不是root的密码；
2、输入密码成功后，当前用户会获得一张默认存活期为5分钟的“令牌”，使用/var/db/sudo可以查看该文件。如果超过该时间，用户就必须重新输入密码。
3、可以使用-k参数来清除sudo用户的时间戳，这样下次执行sudo命令将重新输入密码。但是如果在配置授权对应用户加了NOPASSWD选项，那么该用户使用sudo命令将永远不会提示输入密码。如：skip ALL=(ALL) NOPASSWD: ALL
4、sudo的配置文件/etc/sudoers，建议采用visudo编辑该文件。