【技巧】Ubuntu临时授予用户sudo权限,并在一定时间后自动撤销

转载请注明出处:小锋学长生活大爆炸[xfxuezhagn.cn]

目录

背景说明

开始操作

at指令


背景说明

有时候普通用户需要使用sudo来执行一些操作,作为服务器管理员,需要盯着该用户使用完后再给他撤销sudo权限。当用户多起来的时候,这项工作就很麻烦了。通过自动定时撤销sudo权限,当我们给完了sudo之后就可以不用管了,甚至还可以做一个sudo权限申请的脚步,做到自动申请自动撤销。

开始操作

1、授予用户 sudo 权限 : 添加用户到 /etc/sudoers 文件或 /etc/sudoers.d/ 目录下的文件。这可以通过 visudo 工具或直接编辑相应文件来完成。(不建议直接操作/etc/sudoers)

例如,要为用户名为 username 的用户授予 sudo 权限,可以使用以下命令:

bash 复制代码
echo "username ALL=(ALL:ALL) ALL" | sudo tee -a /etc/sudoers.d/temporary_sudo

test用户原本没有sudo权限
将test用户添加到temporary_sudo中
再次执行就发现可以使用sudo权限了

2、设置一个计划任务来在 1 小时后撤销权限 : 使用 at 命令可以很容易地设置这样的计划任务。首先,确保 at 被安装,还需要启动 at 守护进程:

bash 复制代码
sudo apt install at -y
sudo systemctl enable --now atd

接着,设置一个任务来在 1 小时后删除先前创建的文件(注意,普通任务不需要加sudo,但由于这里是要操作/etc目录,所以at前面需要加上sudo,不然会执行失败):

bash 复制代码
echo "sudo rm /etc/sudoers.d/temporary_sudo" | sudo at now + 1 hours

这样,用户将立即获得 sudo 权限,然后在 1 小时后,计划任务会自动删除先前创建的文件,从而撤销该用户的 sudo 权限。

请注意,当对 /etc/sudoers 文件或 /etc/sudoers.d/ 目录中的文件进行更改时,一定要小心,因为不正确的更改可能会导致系统不稳定或者失去 sudo 访问权限。
测试1分钟后撤回sudo权限
到点后发现test的sudo权限确实被撤销了

at指令

at 命令的格式非常简单,基本格式如下:

bash 复制代码
at [选项] [时间]
选项 含义
-m 当 at 工作完成后,无论命令是否输出,都用 E-mail 通知执行 at 命令的用户。
-c 工作标识号 显示该 at 工作的实际内容。
-t 时间 在指定时间提交工作并执行,时间格式为 [[CC]YY]MMDDhhmm。
-d 删除某个工作,需要提供相应的工作标识号(ID),同 atrm 命令的作用相同。
-l 列出当前所有等待运行的工作,和 atq 命令具有相同的额作用。
-f 脚本文件 指定所要提交的脚本文件。
[表 1 at 命令选项及含义]
格式 用法
HH:MM 比如 04:00 AM。如果时间已过,则它会在第二天的同一时间执行。
Midnight(midnight) 代表 12:00 AM(也就是 00:00)。
Noon(noon) 代表 12:00 PM(相当于 12:00)。
Teatime(teatime) 代表 4:00 PM(相当于 16:00)。
英文月名 日期 年份 比如 January 15 2018 表示 2018 年 1 月 15 号,年份可有可无。
MMDDYY、MM/DD/YY、MM.DD.YY 比如 011518 表示 2018 年 1 月 15 号。
now+时间 以 minutes、hours、days 或 weeks 为单位,例如 now+5 days 表示命令在 5 天之后的此时此刻执行。
[表 2 at 命令时间参数可用格式]

at 命令只要指定正确的时间,就可以输入需要在指定时间执行的命令。这个命令可以是系统命令,也可以是 Shell 脚本。

使用 atq 命令用于查看当前等待运行的工作,atrm 命令后者用于删除指定的工作:

bash 复制代码
atq
#9 2013-07-26 02:00 a root
#说明root用户有一个at任务在2013年7月26日02:00执行,工作号是9

atrm [工作号]
#删除指定的at任务
相关推荐
知远同学1 小时前
docker学习笔记2-最佳实践
运维·docker·容器
哈哈幸运3 小时前
MySQL运维三部曲初级篇:从零开始打造稳定高效的数据库环境
linux·运维·数据库·mysql·性能优化
soulermax3 小时前
数字ic后端设计从入门到精通2(含fusion compiler, tcl教学)
java·linux·服务器
黑心老人3 小时前
Mac OS系统下kernel_task占用大量CPU资源导致系统卡顿
linux·运维·服务器·macos
光算科技3 小时前
服务器在国外国内用户访问慢会影响谷歌排名吗?
运维·服务器·c++
Zenexus3 小时前
Linux学习笔记协议篇(六):SPI FLASH设备驱动
linux·笔记·arm
口嗨农民工3 小时前
ubuntu18.04启动不了修复
linux·运维·ubuntu
塔能物联运维4 小时前
双轮驱动能源革命:能源互联网与分布式能源赋能工厂能效跃迁
大数据·运维
辣个蓝人QEX4 小时前
【ZYNQ MP开发】Linux下使用bootgen命令生成BOOT.bin报错架构不对问题探究
linux·arm开发·xilinx·zynq·mpsoc·bootgen·u-boot移植
Vesan,4 小时前
无人机飞控运行在stm32上的RTOS实时操作系统上,而不是linux这种非实时操作系统的必要性
linux·stm32·无人机