必须用 visudo 编辑 sudoers 文件,因其保存前会语法校验;直接 vim 修改易致 sudo 失效且无法修复。
sudoers 文件里写错一行,用户就彻底没 sudo 权了
改 /etc/sudoers 不是改普通配置文件,语法错误或权限逻辑冲突会导致 sudo 拒绝所有用户(包括 root)执行命令,连修复都进不去。必须用 visudo 编辑,它会在保存前做语法校验;直接 vim /etc/sudoers 是高危操作。
- 每次修改后,用
sudo -l -U username验证目标用户的实际可用命令,别只看配置写了什么 - 不要在规则末尾加
!以外的注释——#后内容会被解析器吞掉,可能造成意外交叉授权 - 如果误锁自己,需重启进 recovery mode 或用 Live CD 挂载根分区手动修复
/etc/sudoers
限制用户只能运行特定脚本,但脚本里调用了其他命令怎么办
sudoers 的命令匹配是**字面精确匹配**,不展开 shell、不解析 shebang、不递归检查脚本内部调用。比如允许 /usr/local/bin/backup.sh,但该脚本里写了 rm -rf /tmp/*,那 rm 就不会被 sudo 授权,运行时会失败或静默丢弃权限。
- 要么把脚本里所有依赖命令也逐条加进 sudoers(不推荐,维护成本高)
- 要么用
sudo -E保持环境变量 + 脚本内用绝对路径调用,并确保这些路径也在 sudoers 白名单中 - 更稳妥的做法:用
sudoers的Cmnd_Alias定义一组可信命令,再让脚本只调用这个集合里的东西
为什么加了 NOPASSWD 还要输密码
常见原因是规则顺序问题。sudoers 从上到下匹配,**第一条完全匹配的规则生效,后续忽略**。如果你在默认的 %sudo ALL=(ALL:ALL) ALL 之后加了一条 alice ALL=(ALL) NOPASSWD: /bin/ls,那 alice 执行 ls 时其实走的是前面那条需要密码的规则。
- 把更具体的规则(如用户级、命令级)放在通用规则(如 %sudo)之前
- 用
sudo -l -U alice查看实际生效的规则列表,注意输出里哪条标了(NOPASSWD) -
Defaults targetpw或Defaults rootpw这类全局设置会覆盖单条规则的NOPASSWD,需一并检查
sudo -u 指定用户执行时,环境变量和工作目录怎么控制
默认情况下,sudo -u www-data /path/to/script.sh 会继承当前 shell 的环境变量(比如 $HOME 还是你的家目录),但 www-data 用户的 $HOME 实际是 /var/www,这可能导致脚本读不到预期配置或写错日志路径。
- 加
-i参数模拟登录:sudo -i -u www-data /path/to/script.sh,这时$HOME、$PATH、$SHELL全按目标用户重置 - 用
-H强制设置$HOME,但其他变量不变,适合轻量切换 - 避免在 sudoers 中用
env_reset以外的方式硬编码环境变量——不同发行版对env_keep的默认行为不一致,CentOS 和 Ubuntu 表现可能不同
真正麻烦的不是写规则,而是规则之间隐含的优先级、环境继承和命令路径解析逻辑。一个看似简单的 sudoers 条目,背后牵扯 shell 解析、PAM 策略、甚至 systemd user session 的环境隔离。改完别急着退出,先用 sudo -l -U 和实际命令跑一遍。
