Linux如何启用和关闭用户sudo权限-linux运维-PHP中文网

在Linux中管理sudo权限主要通过用户组或编辑/etc/sudoers文件实现。推荐使用用户组方式：在Debian/Ubuntu系统中将用户添加到sudo组（sudo usermod -aG sudo username），在CentOS/RHEL中添加到wheel组（sudo usermod -aG wheel username）；撤销权限则用gpasswd -d命令将其从对应组移除。此方法安全、简洁，适用于大多数场景。对于精细化控制，可使用visudo命令编辑/etc/sudoers文件，添加如“username ALL=(ALL:ALL) ALL”赋予完全权限，或限制特定命令执行，避免直接用文本编辑器修改以防语法错误导致系统无法使用sudo。相比su命令需目标用户密码且缺乏审计，sudo以自身密码认证、支持细粒度授权和日志记录，更安全可控。管理多用户时应遵循最小权限原则，按职责划分用户组统一授权，谨慎使用NOPASSWD选项，并定期审计权限配置，结合Ansible等配置管理工具实现自动化与一致性维护。

linux如何启用和关闭用户sudo权限

在Linux系统中，启用或关闭用户的sudo权限，核心在于修改

/etc/sudoers

登录后复制

文件，或者更常见、更安全地通过管理用户所属的特定系统组（如

sudo

登录后复制

或

wheel

登录后复制

）来实现。简单来说，如果你想让一个用户拥有sudo权限，就把他加入到相应的sudo组里；如果想撤销，就从组里移除，或者在sudoers文件里删除相关配置。

解决方案

为用户启用sudo权限通常有两种主要方式，各有其适用场景和考量：

1. 通过用户组管理（推荐且常用）

这是最直接也最推荐的方法。在大多数现代Linux发行版中，系统会预设一个或多个组，其成员被允许执行

sudo

登录后复制

命令。例如，Debian/Ubuntu系列通常是

sudo

登录后复制

组，而CentOS/RHEL系列则是

wheel

登录后复制

组。

启用权限： 要给用户
```
your_username
```
登录后复制
启用sudo权限，只需将其添加到对应的sudo组中。
```
# 对于基于Debian/Ubuntu的系统
sudo usermod -aG sudo your_username

# 对于基于CentOS/RHEL的系统
sudo usermod -aG wheel your_username
```
登录后复制
这里的
```
-aG
```
登录后复制
参数很重要：
```
-a
```
登录后复制
表示“追加”，
```
-G
```
登录后复制
表示“到指定组”。这样操作会将用户添加到指定组，而不会将其从其他现有组中移除。操作完成后，用户需要注销并重新登录，或者通过
```
su - your_username
```
登录后复制
切换到该用户，新的组权限才会生效。
关闭权限： 撤销用户
```
your_username
```
登录后复制
的sudo权限，只需将其从对应的sudo组中移除。
```
# 对于基于Debian/Ubuntu的系统
sudo gpasswd -d your_username sudo

# 对于基于CentOS/RHEL的系统
sudo gpasswd -d your_username wheel
```
登录后复制
```
gpasswd -d
```
登录后复制
命令用于从组中删除用户。同样，用户需要重新登录才能使权限更改生效。

2. 直接编辑

/etc/sudoers

登录后复制

文件（高级且需谨慎）

这种方式提供了更细粒度的控制，但风险也更高。你需要使用

visudo

登录后复制

命令来编辑

/etc/sudoers

登录后复制

文件，这是因为

visudo

登录后复制

会在保存前检查语法错误，防止你把自己锁在系统之外。

启用权限： 执行
```
sudo visudo
```
登录后复制
命令打开配置文件。在文件末尾或适当位置添加一行：
```
your_username ALL=(ALL:ALL) ALL
```
登录后复制
这行配置的意思是：用户
```
your_username
```
登录后复制
可以在所有主机（
```
ALL
```
登录后复制
）、以任何用户（
```
ALL
```
登录后复制
）、以任何组（
```
ALL
```
登录后复制
）的身份执行任何命令（
```
ALL
```
登录后复制
）。如果你想让某个组的所有成员都拥有sudo权限，可以这样配置（这通常是默认的，比如
```
%sudo
```
登录后复制
或
```
%wheel
```
登录后复制
）：
```
%sudo ALL=(ALL:ALL) ALL
```
登录后复制
保存并退出
```
visudo
```
登录后复制
。
关闭权限： 同样使用
```
sudo visudo
```
登录后复制
命令打开配置文件。找到对应用户或组的配置行，将其删除或在行首添加
```
#
```
登录后复制
进行注释。
```
# your_username ALL=(ALL:ALL) ALL
```
登录后复制
保存并退出。

我个人在日常管理中，更倾向于通过用户组来管理sudo权限。它更简洁，也更不容易出错。只有当需要对特定用户或组进行非常精细的权限控制（比如只允许执行某个特定命令，或者免密码执行某个命令）时，我才会考虑直接编辑

/etc/sudoers

登录后复制

文件。

为什么直接编辑

/etc/sudoers

登录后复制

文件是危险的？

说实话，每次当我需要直接编辑

/etc/sudoers

登录后复制

文件时，我都会有点紧张。这不是因为文件内容有多复杂，而是因为一旦犯错，后果可能非常严重。

visudo

登录后复制

命令的存在，就是为了防止这种“手滑”造成的灾难。

如果你直接用

vi

登录后复制

或其他文本编辑器打开并修改

/etc/sudoers

登录后复制

，万一不小心打错一个字符，比如少了一个括号，或者语法不正确，那么在保存之后，系统将无法正确解析

sudoers

登录后复制

文件。最糟糕的情况是，你将失去所有用户的

sudo

登录后复制

权限，包括你自己！这意味着你将无法再以管理员身份执行任何命令，系统管理将陷入停滞。

我记得有一次，我在一个测试环境里，为了省事直接用

vi

登录后复制

编辑了

sudoers

登录后复制

，结果因为一个空格的问题导致文件格式错误。当时我冷汗都下来了，因为我发现任何

sudo

登录后复制

命令都无法执行了。幸运的是，那只是个测试机，而且我还有root密码可以

su -

登录后复制

进去修复。但在生产环境，这绝对是不能容忍的失误。

visudo

登录后复制

的妙处就在于，它会在你保存文件前，自动帮你检查语法。如果发现错误，它会提示你并让你选择是重新编辑、放弃更改还是强制保存。这个“安全网”至关重要，它能避免很多不必要的麻烦。所以，切记，永远用

visudo

登录后复制

。

sudo

登录后复制

与

su

登录后复制

到底有什么本质区别？

这俩命令在表面上看起来都是为了执行特权操作，但骨子里它们的工作方式和设计哲学截然不同。我经常看到新手会把它们搞混，但理解它们之间的差异对于Linux系统管理和安全至关重要。

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

查看详情

sudo

登录后复制

（substitute user do）的核心思想是“以另一个用户的身份执行命令”。默认情况下，这个“另一个用户”就是root。当你使用

sudo command

登录后复制

时，系统会要求你输入你自己的密码，然后根据

/etc/sudoers

登录后复制

文件的配置，判断你是否有权限以root或其他指定用户的身份执行

command

登录后复制

。如果验证通过，

command

登录后复制

就会以目标用户的权限运行，而你的当前shell环境基本不变。

sudo

登录后复制

最大的优势在于其精细的权限控制和审计能力。你可以配置哪些用户可以执行哪些命令，甚至可以限制他们以哪个用户身份执行。而且，所有通过

sudo

登录后复制

执行的命令都会被记录下来，这对于安全审计来说简直是金矿。

su

登录后复制

（substitute user）则更像是“切换用户身份”。当你执行

su - other_user

登录后复制

时，系统会要求你输入目标用户（
other_user
登录后复制
）的密码。如果密码正确，你的当前shell环境会完全切换到

other_user

登录后复制

，包括其环境变量、工作目录等。你就变成了那个用户，可以执行该用户能执行的所有命令。如果你只输入

su

登录后复制

，默认是切换到root用户。

su

登录后复制

的缺点在于，它需要你知晓目标用户的密码，这在多用户协作环境中并不理想，因为它可能导致密码泄露。同时，

su

登录后复制

本身并不提供像

sudo

登录后复制

那样细致的命令级权限控制，也没有内置的审计日志。

我个人更倾向于使用

sudo

登录后复制

。它不仅提供了更好的安全性（无需共享root密码），也提供了更强大的灵活性和可追溯性。在团队协作中，每个管理员都有自己的账户，并通过

sudo

登录后复制

获得必要的权限，这样可以清晰地知道是谁执行了什么操作，责任也更明确。

su

登录后复制

更多地用于在当前会话中快速切换到另一个用户环境，比如测试某个特定用户的配置，或者在没有sudo权限时，通过root密码获取完全控制。

如何安全地管理多个用户的sudo权限？

管理多个用户的sudo权限，远不止简单地加组或删行那么简单，它更像是一门艺术，融合了技术、安全策略和一点点哲学。我的经验告诉我，混乱的权限管理迟早会酿成大祸。

坚持最小权限原则（Principle of Least Privilege）： 这是黄金法则。只赋予用户完成其工作所需的最低权限。如果一个用户只需要重启某个服务，就不要给他执行所有命令的权限。在
```
/etc/sudoers
```
登录后复制
中，你可以这样配置：
```
your_username ALL=/usr/bin/systemctl restart your_service
```
登录后复制
这样，
```
your_username
```
登录后复制
就只能重启
```
your_service
```
登录后复制
，而不能做其他任何事。
利用用户组进行权限分组： 对于拥有相同职责的用户，把他们归入同一个组（比如
```
devops
```
登录后复制
组、
```
dbadmin
```
登录后复制
组），然后给这个组配置sudo权限。这样，当团队成员变动时，你只需要调整用户所属的组，而无需修改
```
sudoers
```
登录后复制
文件。
```
%devops ALL=(ALL) /usr/bin/systemctl restart nginx
```
登录后复制
这比为每个用户单独配置要高效得多。
合理使用
```
NOPASSWD
```
登录后复制
选项： 某些自动化脚本或特定场景下，可能需要用户在执行某些命令时无需输入密码。但请务必谨慎使用
```
NOPASSWD
```
登录后复制
，因为它会大大降低安全性。只对那些低风险、且确实需要免密码执行的命令使用。
```
your_username ALL=(ALL) NOPASSWD: /usr/bin/apt update
```
登录后复制
我一般会把这个选项限制在特定的、无害的命令上，比如
```
apt update
```
登录后复制
或者一些状态查询命令。
定期审计
```
sudoers
```
登录后复制
文件和用户组： 权限配置不是一劳永逸的。随着项目和团队的变化，用户的权限需求也会变。定期（比如每季度）检查
```
/etc/sudoers
```
登录后复制
文件，确保没有多余的、过时的或不安全的配置。同时，检查
```
sudo
```
登录后复制
或
```
wheel
```
登录后复制
组的成员列表，确保只有需要权限的用户在其中。这不仅仅是技术操作，更是一种安全流程的体现。
考虑配置管理工具： 如果你管理着大量的Linux服务器和用户，手动管理
```
sudoers
```
登录后复制
文件会变得非常繁琐且容易出错。这时候，Ansible、Puppet或Chef这类配置管理工具就能派上大用场。它们可以帮助你自动化
```
sudoers
```
登录后复制
文件的部署和管理，确保所有服务器上的权限配置保持一致，并且有版本控制，方便回溯。