信息发布→ 登录 注册 退出

Linux如何启用和关闭用户sudo权限

发布时间:2025-09-07

点击量:
在Linux中管理sudo权限主要通过用户组或编辑/etc/sudoers文件实现。推荐使用用户组方式:在Debian/Ubuntu系统中将用户添加到sudo组(sudo usermod -aG sudo username),在CentOS/RHEL中添加到wheel组(sudo usermod -aG wheel username);撤销权限则用gpasswd -d命令将其从对应组移除。此方法安全、简洁,适用于大多数场景。对于精细化控制,可使用visudo命令编辑/etc/sudoers文件,添加如“username ALL=(ALL:ALL) ALL”赋予完全权限,或限制特定命令执行,避免直接用文本编辑器修改以防语法错误导致系统无法使用sudo。相比su命令需目标用户密码且缺乏审计,sudo以自身密码认证、支持细粒度授权和日志记录,更安全可控。管理多用户时应遵循最小权限原则,按职责划分用户组统一授权,谨慎使用NOPASSWD选项,并定期审计权限配置,结合Ansible等配置管理工具实现自动化与一致性维护。

在Linux系统中,启用或关闭用户的sudo权限,核心在于修改 

/etc/sudoers
文件,或者更常见、更安全地通过管理用户所属的特定系统组(如
sudo
wheel
)来实现。简单来说,如果你想让一个用户拥有sudo权限,就把他加入到相应的sudo组里;如果想撤销,就从组里移除,或者在sudoers文件里删除相关配置。

解决方案

为用户启用sudo权限通常有两种主要方式,各有其适用场景和考量:

1. 通过用户组管理(推荐且常用)

这是最直接也最推荐的方法。在大多数现代Linux发行版中,系统会预设一个或多个组,其成员被允许执行

sudo
命令。例如,Debian/Ubuntu系列通常是
sudo
组,而CentOS/RHEL系列则是
wheel
组。

  • 启用权限: 要给用户

    your_username
    启用sudo权限,只需将其添加到对应的sudo组中。

    # 对于基于Debian/Ubuntu的系统
sudo usermod -aG sudo your_username

# 对于基于CentOS/RHEL的系统
sudo usermod -aG wheel your_username

    这里的

    -aG
    参数很重要:
    -a
    表示“追加”,
    -G
    表示“到指定组”。这样操作会将用户添加到指定组,而不会将其从其他现有组中移除。操作完成后,用户需要注销并重新登录,或者通过
    su - your_username
    切换到该用户,新的组权限才会生效。

  • 关闭权限: 撤销用户

    your_username
    的sudo权限,只需将其从对应的sudo组中移除。

    # 对于基于Debian/Ubuntu的系统
sudo gpasswd -d your_username sudo

# 对于基于CentOS/RHEL的系统
sudo gpasswd -d your_username wheel

    gpasswd -d
    命令用于从组中删除用户。同样,用户需要重新登录才能使权限更改生效。

2. 直接编辑 

/etc/sudoers
文件(高级且需谨慎)

这种方式提供了更细粒度的控制,但风险也更高。你需要使用

visudo
命令来编辑
/etc/sudoers
文件,这是因为
visudo
会在保存前检查语法错误,防止你把自己锁在系统之外。

  • 启用权限: 执行

    sudo visudo
    命令打开配置文件。在文件末尾或适当位置添加一行:

    your_username ALL=(ALL:ALL) ALL

    这行配置的意思是:用户

    your_username
    可以在所有主机(
    ALL
    )、以任何用户(
    ALL
    )、以任何组(
    ALL
    )的身份执行任何命令(
    ALL
    )。 如果你想让某个组的所有成员都拥有sudo权限,可以这样配置(这通常是默认的,比如
    %sudo
    %wheel
    ):

    %sudo ALL=(ALL:ALL) ALL

    保存并退出

    visudo

  • 关闭权限: 同样使用

    sudo visudo
    命令打开配置文件。找到对应用户或组的配置行,将其删除或在行首添加
    #
    进行注释。

    # your_username ALL=(ALL:ALL) ALL

    保存并退出。

我个人在日常管理中,更倾向于通过用户组来管理sudo权限。它更简洁,也更不容易出错。只有当需要对特定用户或组进行非常精细的权限控制(比如只允许执行某个特定命令,或者免密码执行某个命令)时,我才会考虑直接编辑

/etc/sudoers
文件。

为什么直接编辑 
/etc/sudoers
文件是危险的?

说实话,每次当我需要直接编辑

/etc/sudoers
文件时,我都会有点紧张。这不是因为文件内容有多复杂,而是因为一旦犯错,后果可能非常严重。
visudo
命令的存在,就是为了防止这种“手滑”造成的灾难。

如果你直接用

vi
或其他文本编辑器打开并修改
/etc/sudoers
,万一不小心打错一个字符,比如少了一个括号,或者语法不正确,那么在保存之后,系统将无法正确解析
sudoers
文件。最糟糕的情况是,你将失去所有用户的
sudo
权限,包括你自己!这意味着你将无法再以管理员身份执行任何命令,系统管理将陷入停滞。

我记得有一次,我在一个测试环境里,为了省事直接用

vi
编辑了
sudoers
,结果因为一个空格的问题导致文件格式错误。当时我冷汗都下来了,因为我发现任何
sudo
命令都无法执行了。幸运的是,那只是个测试机,而且我还有root密码可以
su -
进去修复。但在生产环境,这绝对是不能容忍的失误。
visudo
的妙处就在于,它会在你保存文件前,自动帮你检查语法。如果发现错误,它会提示你并让你选择是重新编辑、放弃更改还是强制保存。这个“安全网”至关重要,它能避免很多不必要的麻烦。所以,切记,永远用
visudo

sudo
su
到底有什么本质区别?

这俩命令在表面上看起来都是为了执行特权操作,但骨子里它们的工作方式和设计哲学截然不同。我经常看到新手会把它们搞混,但理解它们之间的差异对于Linux系统管理和安全至关重要。

sudo
(substitute user do)的核心思想是“以另一个用户的身份执行命令”。默认情况下,这个“另一个用户”就是root。当你使用
sudo command
时,系统会要求你输入你自己的密码,然后根据
/etc/sudoers
文件的配置,判断你是否有权限以root或其他指定用户的身份执行
command
。如果验证通过,
command
就会以目标用户的权限运行,而你的当前shell环境基本不变。
sudo
最大的优势在于其精细的权限控制和审计能力。你可以配置哪些用户可以执行哪些命令,甚至可以限制他们以哪个用户身份执行。而且,所有通过
sudo
执行的命令都会被记录下来,这对于安全审计来说简直是金矿。

su
(substitute user)则更像是“切换用户身份”。当你执行
su - other_user
时,系统会要求你输入目标用户(
other_user
)的密码。如果密码正确,你的当前shell环境会完全切换到
other_user
,包括其环境变量、工作目录等。你就变成了那个用户,可以执行该用户能执行的所有命令。如果你只输入
su
,默认是切换到root用户。
su
的缺点在于,它需要你知晓目标用户的密码,这在多用户协作环境中并不理想,因为它可能导致密码泄露。同时,
su
本身并不提供像
sudo
那样细致的命令级权限控制,也没有内置的审计日志。

我个人更倾向于使用

sudo
。它不仅提供了更好的安全性(无需共享root密码),也提供了更强大的灵活性和可追溯性。在团队协作中,每个管理员都有自己的账户,并通过
sudo
获得必要的权限,这样可以清晰地知道是谁执行了什么操作,责任也更明确。
su
更多地用于在当前会话中快速切换到另一个用户环境,比如测试某个特定用户的配置,或者在没有sudo权限时,通过root密码获取完全控制。

如何安全地管理多个用户的sudo权限?

管理多个用户的sudo权限,远不止简单地加组或删行那么简单,它更像是一门艺术,融合了技术、安全策略和一点点哲学。我的经验告诉我,混乱的权限管理迟早会酿成大祸。

  1. 坚持最小权限原则(Principle of Least Privilege): 这是黄金法则。只赋予用户完成其工作所需的最低权限。如果一个用户只需要重启某个服务,就不要给他执行所有命令的权限。在

    /etc/sudoers
    中,你可以这样配置:

    your_username ALL=/usr/bin/systemctl restart your_service

    这样,

    your_username
    就只能重启
    your_service
    ,而不能做其他任何事。

  2. 利用用户组进行权限分组: 对于拥有相同职责的用户,把他们归入同一个组(比如

    devops
    组、
    dbadmin
    组),然后给这个组配置sudo权限。这样,当团队成员变动时,你只需要调整用户所属的组,而无需修改
    sudoers
    文件。

    %devops ALL=(ALL) /usr/bin/systemctl restart nginx

    这比为每个用户单独配置要高效得多。

  3. 合理使用

    NOPASSWD
    选项: 某些自动化脚本或特定场景下,可能需要用户在执行某些命令时无需输入密码。但请务必谨慎使用
    NOPASSWD
    ,因为它会大大降低安全性。只对那些低风险、且确实需要免密码执行的命令使用。

    your_username ALL=(ALL) NOPASSWD: /usr/bin/apt update

    我一般会把这个选项限制在特定的、无害的命令上,比如

    apt update
    或者一些状态查询命令。

  4. 定期审计

    sudoers
    文件和用户组: 权限配置不是一劳永逸的。随着项目和团队的变化,用户的权限需求也会变。定期(比如每季度)检查
    /etc/sudoers
    文件,确保没有多余的、过时的或不安全的配置。同时,检查
    sudo
    wheel
    组的成员列表,确保只有需要权限的用户在其中。这不仅仅是技术操作,更是一种安全流程的体现。

  5. 考虑配置管理工具: 如果你管理着大量的Linux服务器和用户,手动管理

    sudoers
    文件会变得非常繁琐且容易出错。这时候,Ansible、Puppet或Chef这类配置管理工具就能派上大用场。它们可以帮助你自动化
    sudoers
    文件的部署和管理,确保所有服务器上的权限配置保持一致,并且有版本控制,方便回溯。

总的来说,安全地管理sudo权限是一个持续的过程。它要求我们既要理解技术细节,又要对潜在的安全风险保持警惕,并不断优化我们的管理策略。

标签:# 自动化  # 当你  # 你可以  # 这是  # 组中  # 自己的  # 移除  # 切换到  # 多个  # 将其  # 如果你  # ansible  # puppet  # linux  # debian  # devops  # 为什么  # 区别  # linux服务器  # linux系统  # 环境变量  # 工具  # ubuntu  # nginx  # centos  

上一篇:如何在Linux中安装开发包 Linux yum group

下一篇:如何在Linux中检查更新 Linux yum check-

返回
在线客服
服务热线

服务热线

4008888355

微信咨询
二维码
返回顶部
×二维码

截屏,微信识别二维码

打开微信

微信号已复制,请打开微信添加咨询详情!