Linux 安全：如何使用 sudo 和 sudoers 文件控制权限提升

sudo机制允许普通用户临时获取高权限，通过配置/etc/sudoers文件实现精细化权限控制，如指定用户、命令及免密策略，结合日志审计保障系统安全。

在 Linux 系统中，权限管理是保障系统安全的核心环节。直接使用 root 账户操作存在极大风险，一旦误操作或被恶意程序利用，可能导致系统崩溃或数据泄露。sudo 机制提供了一种安全的方式，允许普通用户在需要时临时获得高权限，同时保留操作日志，便于审计和追踪。掌握 sudo 及其配置文件 /etc/sudoers 的使用，是系统管理员必须具备的技能。

理解 sudo 的基本工作原理

sudo 允许授权用户以其他用户（通常是 root）的身份执行命令。与直接切换到 root 不同，sudo 记录每一次提权操作，并可设置超时时间，避免长时间处于高权限状态。

典型用法如下：

• sudo command：以 root 身份运行单条命令
• sudo -u username command：以指定用户身份执行命令
• sudo -i：模拟登录 root shell，进入交互式环境

执行 sudo 时，系统会验证当前用户的密码（而非目标用户的密码），并在默认的 5 分钟内缓存凭证，减少重复输入。

安全编辑 sudoers 文件

/etc/sudoers 是控制 sudo 权限的核心配置文件。直接使用普通文本编辑器修改可能因语法错误导致无法提权，应使用专用工具：

• visudo：默认使用系统 vi 编辑器打开文件，保存时自动检查语法
• 某些发行版支持通过 EDITOR=nano visudo 指定编辑器

配置文件中的每一行定义了用户、主机、可执行命令等规则，格式为：

例如：

Vinteo AI

利用人工智能在逼真的室内环境中创建产品可视化。无需设计师和产品照片拍摄

62

查看详情

表示用户 alice 在任意主机上可以以任意用户身份运行 systemctl 和 journalctl 命令。

精细化权限分配策略

合理配置 sudoers 可实现最小权限原则，降低安全风险：

• 避免使用 ALL 授予全部命令权限，应明确列出必需命令路径
• 可通过 Cmnd_Alias 定义命令别名，提升可读性和维护性，如：
  Cmnd_Alias SERVICES = /usr/bin/systemctl start *, /usr/bin/systemctl stop *
• 使用 NOPASSWD 标签可免除密码验证，但仅建议用于特定自动化场景，并严格限制命令范围
• 结合组（%groupname）授权，便于批量管理，如：
  %admins ALL=(ALL) ALL

启用日志审计与行为监控

sudo 默认将所有提权操作记录在日志中，通常位于 /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（RHEL/CentOS）。每条记录包含时间、执行用户、目标用户、执行命令等信息。

定期审查日志有助于发现异常行为。例如，查找某用户的所有 sudo 操作：

也可通过启用 syslog 或集成集中式日志系统（如 rsyslog、ELK）实现长期留存与告警。

基本上就这些。正确使用 sudo 和精心配置 sudoers 文件，能有效平衡操作便利性与系统安全性。关键是按需授权、最小权限、留有痕迹。不复杂但容易忽略。

以上就是Linux 安全：如何使用 sudo 和 sudoers 文件控制权限提升的详细内容，更多请关注php中文网其它相关文章！