Linux 用户管理

1 用户和用户组分类

Linux 系统是一个多用户多任务的分时操做系统，任何一个要使用系统资源的用户，都必需要拥有一个帐号进入系统。帐号实质上就是一个用户在系统上的标识，系统根据该标识分配不一样的权限和资源。一个帐号包含用户和用户组两部分。

• 用户分类：

  • 超级管理员：具备操做系统的一切权限，UID 为 0 。通常是 "root"用户，不建议一个系统有多个超级用户
  • 系统用户(伪用户)：方便系统管理，用来运行系统和服务的用户，没有密码不能登陆，UID在 1 - 499 之间。好比有些服务不但愿使用 root 的身份去执行，而是但愿使用权限更小的帐号去执行，因此咱们就得要提供这些运做程序的拥有者
  • 普通用户：可登入用户，拥有系统部分权限的用户，UID 从 500 开始。

• 用户组分类：

  • 初始组：用户刚登陆入系统就所在的组，用户的必需要有一个初始组且只能有一个，通常初始组名和用户名相同
  • 附加组：用户除了初始组外加入的其余组，每一个用户能够拥有0或多个附加组

2 用户和用户组相关文件

• 用户信息文件：/etc/passwd

  • 该用户存放系统全部用户的信息，每一行内容表明一个用户，以 ":" 分割共 7 列。以 root 用户为例："root:x:0:0:root:/root:/bin/bash"
  • 第 1 列：用户名
  • 第 2 列：密码位。早期 Unix 系统的密码就是放在这字段上，可是由于这个文件的特性是全部的程序都可以读取，这样一来很容易形成密码数据被窃取， 所以后来就将这个字段的密码数据给放到 "/etc/shadow" 中了，因此这里会看到一个 "x"

  • 第 3 列：用户ID，即 UID

    • 0 (超级管理员)：当 UID 为 0 时，表明该用户是超级管理员。因此当你要让其余的用户名称也具备 root 的权限时，将该用户的 UID 改成 0 便可，也就是说一个系统上超级管理员不见得就是 root，很不建议有多个用户的 UID 是 0
    • 1 - 499 (系统用户)：这些 UID 是保留给系统用户的 UID，也就是说 UID 在 1 - 499 范围的用户是不能登陆的，只能用来运行系统或者服务。其中，UID 1 - 99 是系统自动建立帐号时使用的； UID 100 - 499 是用户有建立系统帐号需求时使用的
    • 500 - 60000 (普通用户)：普通用户UID。实际上Linux 2.6.x 内核之后能够支持 2^32-1 这么多了
  • 第 4 列：用户初始组ID，即 GID
  • 第 5 列：用户信息说明。这个字段基本上并无什么重要用途，只是用来解释这个帐号的意义而已
  • 第 6 列：用户家目录，即用户登陆后默认进入的目录。若是你想让某个用户登陆后默认进入其余目录，修改这列就好了，前提该用户要有进入这个目录的权限
  • 第 7 列：登陆后获取的shell。通常都是 "/bin/bash"，注意系统用户不能登陆因此这列是一个特殊shell "/sbin/nologin"

• 用户密码文件：/etc/shadow

  • 该文件存放的实际上才是用户的密码信息，每行表明一个用户的密码信息，以 ":" 分割共 9 列。早期的密码(加密过的)存放在 "/etc/passwd" 文件的第二列，但因为 "/etc/passwd" 文件权限是 "-rw-r--r--" 容易被窃取，后来把密码放到了 "/etc/shadow" 文件，且文件权限为 "----------" 。以 root 用户密码信息为例：root:$6$jOouAVJYJ5Ys2U1q$5j..L0vQV8W2ih8M2AK50PFhHJfJRUMIyMLkZuCezV6HOoX4Zls3yH7JdJlAPz6bp3DaKNhVh4ewXzxTivRC9/:18020:0:99999:7:::
  • 第 1 列：用户名。对应 "/etc/passwd" 文件中的用户名
  • 第 2 列：加密密码。若是是 "!!" 或者 "*"，表明没有密码不能登陆，系统用户就是 "!!" 或者 "*"

  • 第 3 列：密码最近一次改动日期。值是以 1970 年 1 月 1 日做为 1 而累加得来得天数

    • 天数转日期：date -d "1970-01-01 18020 days"
    • 日期传天数：echo $(($(date --date="2019/05/04" +%s)/86400+1))
  • 第 4 列：两次密码修改时间间隔(与第3列相比)。该用户的密码在最近一次被更改后须要通过几天才能够再被变动，若是是 0 的话表示密码随时能够更动的意思。这的限制是为了怕密码被某些人一改再改而设计的，若是设定为 20 天的话，那么当你设定了密码以后， 20 天以内都没法改变这个密码
  • 第 5 列：密码有效期(与第3列相比)。常常变动密码是个好习惯！为了强制要求用户变动密码，这个字段能够指定在最近一次更改密码后， 在多少天数内须要再次变动密码才行
  • 第 6 列：密码到期前的警告天数(与第5列相比)。当用户的密码有效期限快要到的时候，系统会依据这个字段的设定，发出警告信息给这个用户，提醒他 "再过 n 天你的密码就要过时了，请尽快从新设定你的密码"，如上面的例子，则是密码到期以前的 7 天以内，系统会警告该用户
  • 第 7 列：密码到期后的宽限天数(与第5列相比)。若是设置了宽限天数，密码到期后不会当即失效，再宽限天数内任务没有更改密码，密码才会真正的失效
  • 第 8 列：帐号失效日期。这个日期跟第三个字段同样，都是使用 1970 年以来的总日数设定。这列表示： 该用户在此字段规定的日期以后，将没法再使用，就是所谓的帐号失效，此时不论你的密码是否有过时，这个帐号都不能再被使用！ 这个字段会被使用一般应该是在收费服务的系统中，你能够规定一个日期让该帐号不能再使用了
  • 第 9 列：保留。这列是保留的，看之后有没有新功能加入

• 用户组文件：/etc/group

  • 该文件存放用户组信息，每行表明一个用户组信息，以 ":" 分割共 4 列。以 root 组信息为例：root:x:0:
  • 第 1 列：用户组名。
  • 第 2 列：用户组密码位。和用户密码同样，组密码已经移动到 "/etc/gshadow" 文件中去，所以这个字段只存在一个 "x" 而已
  • 第 3 列：用户组ID，即 GID。对应 "/etc/passwd" 文件中的用户组ID
  • 第 4 列：组内用户列表(不包含以该组为初始组的用户)，多个用户名以","隔开。例如如今须要把 "user1" 和 "user2" 也加入到该 root 组，则 root 组信息变为 "root:x:0:user1,user2"

• 用户组密码文件：/etc/gshadow

  • 若是给某个用户设定了组管理员，并给该用户组设定了组密码，组密码就保存在这个文件中，组管理员就能够利用这个密码管理这个用户组了。一般不多有这个机会设定用户组管理员，这里只对内容结构作一下简单说明，以 ":" 分割共 4 列
  • 第 1 列：用户组名。对应 "/etc/group" 文件中的用户组名
  • 第 2 列：加密的用户组密码。
  • 第 3 列：用户组的管理员帐号。管理员拥有对该组添加和删除帐号的权限
  • 第 4 列：组内用户列表

• 用户家目录

  • 通常 root 用户的家目录为 "/root"，普通用户的家目录为 "/home/xxx"

• 用户邮箱

  • 用户邮箱在 "/var/spool/mail/" 目录下，例如 "user1" 用户的邮箱是 "/var/spool/mail/user1"

• 用户模板文件：/etc/skel/

  • 新建一个用户的时候，"/etc/skel/" 目录下的文件都会原封不动的复制到新建用户的家目录下。例如，提早在 "/etc/skel/" 目录下放入一个用户使用手册文件 "manual.pdf"，再建立一个新用户，该用户登陆后就会在他的家目录下看到这个用户使用手册文件了

上面介绍了用户和用户组相关的文件，那么用户登陆系统的过程，是如何涉及到这些文件的呢？当你输入用户名和密码后，系统大体作了以下几步处理：

1. 先找寻 /etc/passwd 里面是否有你输入的用户名，若是没有则跳出，若是有的话则将该用户名对应的 UID 与 GID (关联 /etc/group 中的GID) 读出来，另外该用户的家目录与 shell 设定也一并读出来；
2. 核对密码表。这时 Linux 会进入 /etc/shadow 里面找出对应的用户，而后核对一下你刚刚输入的密码与里头的密码是否相符；
3. 若是一切都 OK 的话，就进入 Shell 控管的阶段。

3 用户管理

3.1 添加用户：useradd

命令格式：useradd [选项] 用户名

• 选项：

  • -u 用户ID：指定用户ID。通常指定 UID 要大于500，若是没有特殊需求尽可能不要指定，由系统自动分配便可
  • -g 初始组名：指定用户所属初始组。尽可能不要指定，系统会自动建立一个和新增用户名相同的组最为该新增用户的初始组
  • -G 附加组名：指定用户所属附加组。若是要指定多个附加组，组名用 "," 隔开
  • -c 说明文字：加上备注文字。备注文字会保存在 "/etc/passwd" 文件的第 5 列
  • -d 家目录：指定用户家目录
  • -s shell：指定用户登入后所使用的 shell 程序

3.2 用户密码设定：passwd

刚添加成功的用户没有密码(此时该用户的密码是 "!!" )，还不能用于登陆系统，须要经过 "passwd" 命令设置密码后才能登陆。固然，"passwd" 命令也能用来修改已存在的用户密码，以及管理用户密码有效时间等。

命令格式：passwd [选项] [用户名]

• 选项：

  • -l 或 --lock：临时锁住密码使密码失效。即把 "/etc/shadow" 第二列密文密码前面多加个 "!!"
  • -u 或 --unlock：解开已锁住的用户密码。相对于 -l 的反向操做
  • -d 或 --delete：删除现有用户的密码
  • -n 天数：两次密码修改时间间隔。对应"/etc/shadow" 第 4 列
  • -x 天数：密码有效期。对应"/etc/shadow" 第 5 列。
  • -w 天数：密码到期前的警告天数。对应"/etc/shadow" 第 6 列
  • -i 天数：密码到期后的宽限天数。对应"/etc/shadow" 第 7 列
  • -S 或 --status：显示用户密码状态

  • --stdin：从标准输入读取令牌。主要用在经过脚本批量添加用户，不须要交互的场景

    • 示例，修改 "user1" 的密码为 "123456"：echo "123456" | passwd --stdin user1 。尽可能不要在shell里这样操做，history 会记录执行过的历史命令，设置的密码可能不被泄露
• 用户名：用户名省略，默认修改当前登陆用户的密码。通常用户修改本身的密码直接执行 "passwd" 便可

注意：只有管理者才能修改其余用户的密码，普通用户只能修改本身的密码

3.3 用户信息修改：usermod

命令格式：usermod [选项] 用户名

• 选项：

  • -u 用户ID：修改用户ID
  • -d 家目录：修改用户家目录
  • -c 用户说明：修改用户说明
  • -g 初始组名：修改用户初始组
  • -G 附加组名：修改用户附加组
  • -s shell：修改用户登入后所使用的 shell 程序
  • -e 日期：修改帐号失效日期，格式是 "YYYY-MM-DD"。即修改 /etc/shadow 第 8 列数据
  • -l 新用户名：修改用户名
  • -L：临时锁定帐号。与 "passwd -l 用户名" 做用同样
  • -U：解锁帐号

3.3 用户删除：userdel

命令格式：userdel [选项] 用户名

• 选项：

  • -r：同时删除用户家目录和用户邮件

4 用户组管理

4.1 添加组：groupadd

命令格式：groupadd [选项] 组名

• 选项：

  • -g 组ID：指定组ID
  • -r：建立系统用户组，系统用户组的组ID小于500。与 /etc/login.defs 内的 GID_MIN 有关

4.2 组信息修改：groupmod

命令格式：groupmod [选项] 组名

• 选项：

  • -g 组ID：修改组ID
  • -n 新组名：修改组名

4.3 组删除：groupdel

命令格式：groupdel 组名

注意：若是用户组是某个用户的初始组，必须先删除这个用户或者修改该用户的GID后，才能删除该用户组

4.4 切换有效组：newgrp

若是用户 user1 有个多个用户组(初始组：user1，附加组：group1，group2)，则登陆后默认的有效组是该用户的初始组user1，此时该用户建立的文件所属组就是 user1，若是让该用户建立的文件所属组为 group1，就须要使用 "newgrp" 命令切换有效组为 group1

命令格式：newgrp 组名

4.5 组密码和组管理员功能：gpasswd

若是管理员太忙了，能够为某个用户组设置一个管理员来帮忙管理该组成员用户。 通常组密码和组管理员功能其实不多使用了，彻底能够由 "sudo" 取代。

命令格式：gpasswd [选项] 组名

• 选项：

  • -a 用户名：添加用户到该组
  • -d 用户名：从组中删除某个用户
  • -A 用户1,用户2,...：添加组管理员列表
  • -M 用户1,用户2,...：添加组成员列表。注意，-a 是追加，-M 是会覆盖原有值
  • -r：删除组密码
  • -R：使组密码失效
  • 不加任何选项，即 gpasswd 组名：设置用户组密码

注意：若是某个用户组设置了组密码，就表明容许非该组内的用户能够经过 " newgrp " 命令(会提示输入密码)，切换有效组为该组。至关于把非该组内的用户临时添加到了该组，只是临时生效，并无修改 "/etc/group" 和 "/etc/gshadow" 文件

5 扩展命令

5.1 查询用户UID/GID等信息：id

命令格式：id [选项] [用户名]

• 选项：通常使用不加任何选项，

  • -g：仅显示该用户当前有效的用户组ID
  • -G：显示该用户全部用户组ID
  • -u：仅显示该用户ID
  • -Z：仅显示当前用户的安全环境
• 用户名：省略表明查询当前进程用户

该命令使用通常不加任何选项，基本能输出全部要查询的信息。例如直接执行 " id" 或 " id root"

5.2 查询用户所在所有组名称：groups

命令格式：groups [用户1] [用户2] ...

• 参数省略，即直接执行 "groups"，表明查询当前进程用户

查询出来的第一个组是当前有效组

5.3 显示当前登陆用户名：whoami

命令格式：whoami

• 不须要任何选项和参数，直接执行便可

5.4 显示当前已登陆用户信息：w、who

w 和 who 命令做用类似都是显示系统中正在登陆的用户信息，这两个命令查询信息都来源于日志文件 "/var/run/utmp"。

w 命令格式：w [选项] [用户名]

• 选项：

  • -h：不打印头信息
  • -u：当显示当前进程和cpu时间时忽略用户名
  • -s：使用短输出格式
  • -f：显示用户从哪登陆
  • -i：登陆来源展现ip地址而不是主机名
• 用户：仅显示指定用户

示例：

[root@localhost ~]# w
 18:31:08 up 1 day, 16 min,  3 users,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     -                Sat18   49:23   0.07s  0.07s -bash
root     pts/0    192.168.199.119  18:22    8:17   0.02s  0.02s -bash
root     pts/1    192.168.199.119  18:22    0.00s  0.03s  0.00s w

输出内容说明：

• 第一行内容：

  • 18:31:08：系统当前时间
  • up 1 day, 16 min：系统的运行时间
  • 3 users：当前登陆终端数量
  • load average: 0.00, 0.00, 0.00：系统在以前1分钟、5分钟、15分钟的平均负载。若是CPU是单核的，则这个数据超过1就是高负载；若是CPU是四核的，则这个数值超过4就是高负载

• 第二行内容：

  • USER：当前登陆的用户
  • TTY：登陆的终端。tty1-6: 本地字符终端(alt+F1-6 切换)，tty7: 本地图形终端(ctrl+F7切换，必须安装启动图形界面)，pts/0-255: 远程终端
  • FROM：登陆的IP地址，若是是本地终端，则是空
  • LOGIN@：登陆时间
  • IDLE：用户空闲时间
  • JCPU：全部的进程占用的CPU时间
  • PCPU：当前进程占用的CPU时间
  • WHAT：用户正在进行的操做

who 命令格式：who [选项] [查询文件]

• 选项：

  • -H：显示各栏位的标题信息列
  • -q：只显示登入系统的账号名称和总人数
  • -w：显示用户的信息状态栏
  • -u：显示闲置时间，若该用户在前一分钟以内有进行任何动做，将标示成"."号，若是该用户已超过24小时没有任何动做，则标示出"old"字符串
• 查询文件：指定要查询的文件，默认是/var/run/utmp

5.5 更改使用的shell：chsh

命令格式：chsh [选项] [用户名]

• 选项：

  • -l：列出目前系统全部可用shell。其实就是输出 "/etc/shells" 文件内容
  • -s 新shell程序：指定要设定的shell。其实就是修改上面说到的 "/etc/passwd" 文件的第 7 列数据
• 用户名：省略则默认是操做当前登陆用户

6 添加用户默认值配置

useradd 命令添加用户时，有些选项若是不指定的话都会有默认值，好比家目录。添加用户时默认值的参考文件主要有两个，分别是 "/etc/default/useradd" 和 "/etc/login.defs"，下面对文件内容一一进行说明

/etc/default/useradd 文件，内容以下：

[root@localhost ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

• GROUP=100：默认初始组ID，就是说新添用户时的默认初始组是 users 组(users组的GID就是100)，可是你看到的现象可能并非这样，而是建立了一个和用户名同样的用户组做为该新用户的初始组。这是由于针对用户组有两种不一样的机制，这两种机制分别是：

  • 私有群组机制：系统会创建一个与用户名同样的群组给用户做为初始群组。 这种群组的设定机制会比较有保密性，用户都有本身的群组，并且家目录权限将会设定为 700 (仅有本身可进入本身的家目录)。使用这种机制就不会参考 GROUP=100 这个设定值了。表明性的Linux发行版有 RHEL，Fedora，CentOS 等
  • 公共群组机制：就是以 GROUP=100 这个设定值做为新建用户的初始群组，所以每一个帐号都属于 users 这个群组，且默认家目录一般的权限会是 "drwxr-xr-x"，因为每一个帐号都属于 users 群组，所以你们均可以互相分享家目录内的数据。表明Linux发行版有 SuSE 等
• HOME=/home：用户家目录位置。即每一个新建用户会在该目录下新建一个和用户名同样的目录来存放该用户的文件
• INACTIVE=-1：密码过时后的宽限天数。即对应 "/etc/shadow" 文件的第 7 列。这里的值是天数，若是是 0 表明密码过时马上失效；若是是 -1 则是表明密码永远不会失效；若是是其余数字如 30 ，则表明密码过时后 30 天后才失效
• EXPIRE=：默认失效的日期。即对应 "/etc/shadow" 文件的第 7 列。默认值是空，表明永久有效
• SHELL=/bin/bash：使用的 shell 程序。即对应 "/etc/passwd" 文件的第 7 列
• SKEL=/etc/skel：新建用户家目录的模板文件。该目录下的文件会所有原封不动的复制到新用户的家目录下
• CREATE_MAIL_SPOOL=yes：是否给新用户创建邮箱。这里默认建立，就是说新建用户会建立一个和用户名同样的文件放在 "/var/spool/mail/" 目录(该目录由 "/etc/login.defs" 文件指定的) 下

/etc/login.defs 文件，内容以下：

[root@localhost ~]# cat /etc/login.defs 
...(注释内容省略)...
MAIL_DIR    /var/spool/mail

PASS_MAX_DAYS    99999
PASS_MIN_DAYS    0
PASS_MIN_LEN    5
PASS_WARN_AGE    7

UID_MIN              500
UID_MAX            60000
GID_MIN              500
GID_MAX            60000

CREATE_HOME    yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

• MAIL_DIR /var/spool/mail：默认邮箱目录
• PASS_MAX_DAYS 99999：密码有效期。对应 "/etc/shadow" 文件的第 5 列
• PASS_MIN_DAYS 0：两次密码修改时间隔。对应 "/etc/shadow" 文件的第 4 列
• PASS_MIN_LEN 5：密码最小长度。已被 PAM 模块取代，这里再也不生效
• PASS_WARN_AGE 7：密码到期前的警告天数。对应 "/etc/shadow" 文件的第 6 列
• UID_MIN 500：最小UID
• UID_MAX 60000：最大UID
• GID_MIN 500：最小GID
• GID_MAX 60000：最大GID
• CREATE_HOME yes：建立用户时是否为其建立家目录。默认建立
• UMASK 077：新建用户家目录的默认权限。这里值为 077，那么新建用户家目录的权限是 700，即 "drwx------"
• USERGROUPS_ENAB yes：使用 userdel 命令删除用户时，若是所属的初始组已经没有其余用户隶属于该组了，是否删除该用户的初始组。默认是删除
• ENCRYPT_METHOD SHA512：密码加密方式。加密方式有：SHA5十二、DES、MD5

7 用户身份切换(su与sudo)

当用普通帐号登陆系统，须要执行某些操做可是权限不足，这时就须要切换到更高权限的用户身份去执行啦。这里就涉及到两个命令的使用 su 和 sudo

7.1 su

su 是最简单的用户身份切换命令，能够进行任何身份的切换。除了 root 用户切换到其余用户不须要输入密码外，其余状况使用 "su" 命令切换用户时都必须输入要切换用户的登陆密码

命令格式：su [选项] [用户名]

• 选项：

  • - 或 -l 或 --login：使用 login-shell 的变量文件读取方式来登陆系统。即切换身份时同时切换环境变量，若是不加该选项的话，用户切换后环境变量仍是旧的，建议每次切换都带上该选项
  • -c 命令：只是以某个用户执行一次指令，而不切换用户身份
• 用户名：要切换的用户。若是省略则表明切换到 root 用户

示例：

# 1. 从 user1 切换至 root 用户，提示输入密码
[user1@localhost ~]$ su -
密码：
# 2. 查看 /root/aaa.txt 文件权限、全部者和所属组
[root@localhost ~]# ls -l aaa.txt 
-rw-r--r--. 1 root root 17 4月  18 19:15 aaa.txt
# 3. 从 root 用户切换至 user2 用户，不须要输入密码直接切换成功
[root@localhost ~]# su - user2
# 4. 查看 user2 用户所属组。不在 root 组，即不能查看/root/aaa.txt内容
[user2@localhost ~]$ id user2
uid=502(user2) gid=502(user2) 组=502(user2),501(user1)
# 5. 使用 root 身份执行一次查看指令，而不切换身份
[user2@localhost ~]$ su -c "cat /root/aaa.txt" root
密码：
aaaaaaaaaaaaaaaa
[user2@localhost ~]$

7.2 sudo

虽然 su 很方便了，可是若是有不少人都须要切换 root 身份来执行某些指令，就必须知道 root 密码，这样容易致使密码流出，很不妥。相对于 su 必须知道要切换的用户密码，而使用 sudo 来切换身份只须要知道用户本身的密码便可。并非全部用户都能使用 sudo 切换身份，前提必须是由管理员审核后，给用户开放了 sudo 权限才能使用，能使用 sudo 其实就已经表明是受信任的用户了，这也是使用 sudo不要须要知道切换用户密码的缘由。

命令格式：sudo [选项] 原始命令

• 选项：

  • -u 用户名：要使用的用户身份，省略此选项默认是 root 身份
  • -b：在后台执行指令

示例，

# 1. 使用 user1 用户身份建立文件 /tmp/aaa.txt
[root@localhost ~]# sudo -u user1 touch /tmp/aaa.txt
# 2. 查看 /tmp/aaa.txt，发现文件所属者和所属组都是 user1，而不是 root
[root@localhost ~]# ls -l /tmp/aaa.txt 
-rw-r--r--. 1 user1 user1 0 4月  18 21:32 /tmp/aaa.txt
[root@localhost ~]#

sudo 预设只有 root 用户可以使用，那么普通用户如何才能使用 sudo 来获取其余用户身份呢？这就涉及到 "/etc/sudoers" 文件的配置，由于 sudo 的执行流程是这样的：

1. 当用户执行 sudo 时，系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限
2. 若使用者具备可执行 sudo 的权限，便让使用者输入本身的密码来确认
3. 若密码输入成功，便开始进行 sudo 后续接的指令
4. 若欲切换的身份与执行者身份相同或者 root 用户执行 sudo 时，不须要输入密码

因此用户可否使用 sudo，只须要编辑 /etc/sudoers 文件就能够了。由于该文件有必定的规范性，直接使用 vi 去编辑不是太好，所以系统提供了一个命令 visudo 专门来编辑这个文件，并在编辑完成退出编辑界面时去进行校验该文件的语法。下面对该文件内容进行介绍：

[root@localhost ~]# visudo

...省略...
# 使用者  来源主机=(可切换的身份) 可执行的命令
root      ALL=(ALL)             ALL

• 使用者：能够是 "用户名" 或者 "%组名" ，指给哪一个用户或者用户组下的全部用户授予 sudo 权限。注意若是是用户组，前面要加 "%"
• 来源主机：登陆者的来源主机。意思是这个用户可由哪一部网络主机联机过来，这个能够指定受信任客户端计算机来源。"ALL" 表明全部主机
• 可切换的身份：使用者能够切换成什么身份。"ALL" 表明任意身份。这个字段能够省略，默承认切换 root 身份。
• 可执行的命令：可用切换身份下达什么指令，指令务必写绝对路径。"ALL" 表明所有指令。前面若是加了 "NOPASSWD:"，则使用 sudo 时能够免密码(使用者本身的密码)输入

示例，

# 1. 受权user1能够切换root身份重启服务器。可切换身份省略默认就是root身份
user1 ALL= /sbin/shutdown -r now 
# 等同于上面一条
user1 ALL=(root) /sbin/shutdown -r now

# 2. 受权user1能够修改其余用户密码，可是不能修改root密码。! 是不可执行的意思
user1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

# 3. 受权wheel用户组全部身份权限，而且免密码输入
%wheel ALL=(ALL) NOPASSWD: ALL

# 4. 设置别名。User_Alias(设置用户别名)、Cmnd_Alias(设置命令别名)、Host_Alias(设置来源主机名别名)
# 注意别名必定要用大写字母，入下面的 ADMPW、ADMPWCOM
User_Alias ADMPW = user1, user2, user3
Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
ADMPW ALL=(root) ADMPWCOM

若是两次执行 sudo 的间隔在五分钟内，那么再次执行 sudo 时就不须要再次输入密码了。这是由于系统相信你在五分钟内不会离开你的做业，因此执行 sudo 的是同一我的