第二十七天 sudo使用、selinux管理、手工制作linux系统

1、sudo的基本使用
2、selinux的管理入门
3、手工制作linux系统
4、手工制作linux系统

一、sudo

sudo能做什么？
1、限制指定用户在指定主机主机上运行指定的管理命令；
2、详细记录用户基于sudo执行的命令的相关日志信息；
3、“检票系统”：用户第一次执行sudo会要求输入密码，用户会获得一个有固定存活时长的“入场券”；默认为5分钟；

如何实现此类功能？
/etc/sudoers: 只能由管理编辑以实现授权；

专用编辑命令：visudo

/etc/sudoers:
WHO HOST=(WHOM) COMMAND
%WHO HOST=(WHOM) COMMAND

WHO: 用户名，也可以用户列表别名

User_Alias ::= NAME ’=’ User_List

Runas_Alias ::= NAME ’=’ Runas_List

Host_Alias ::= NAME ’=’ Host_List

Cmnd_Alias ::= NAME ’=’ Cmnd_List

用户别名格式：
用户别名可用项：
USERNAME, %GROUPNAME, #UID, $#GID, User_Alias

语法格式：
User_Alias NAME = item1, item2, item3 : NAME = item4, item5

别名本身必须使得全大写字母

主机别名格式：
Host_Alias NAME = item1, item2

可用项：
hostname, ip, network_address, host_alias

命令别名格式：
Cmnd_Alias NAME = item1, item2

可用项：
命令名, 目录（目录下的所有命令），"sudoedit"，Cmnd_Alias

授权示例：
gentoo ALL=(ALL) /usr/sbin/useradd, /usr/sbin/userdel

sudo命令：
-l: 查看当前用户可执行的sudo命令
-u 用户名 命令：以指定用户的身份运行后面的“命令”；
-k: 清除“入场券”；
-b 命令：在后台运行指定的命令
-p 提示语：可以更改询问密码的提示语，其可用%u变量来替换为用户名，%h替换为主机名；
-e 文件路径：不是执行命令，而修改指定的文件；

注意：/usr/bin/passwd [a-zA-Z0-9]*, ! /usr/bin/passwd root
! /usr/bin/passwd root需要放在后面；