Linux如何启用和关闭用户sudo权限_网络技术_宿州市腾雀网络科技有限公司

Linux如何启用和关闭用户sudo权限

发布时间 - 2025-09-07 00:00:00 点击率：次

在Linux中管理sudo权限主要通过用户组或编辑/etc/sudoers文件实现。推荐使用用户组方式：在Debian/Ubuntu系统中将用户添加到sudo组（sudo usermod -aG sudo username），在CentOS/RHEL中添加到wheel组（sudo usermod -aG wheel username）；撤销权限则用gpasswd -d命令将其从对应组移除。此方法安全、简洁，适用于大多数场景。对于精细化控制，可使用visudo命令编辑/etc/sudoers文件，添加如“username ALL=(ALL:ALL) ALL”赋予完全权限，或限制特定命令执行，避免直接用文本编辑器修改以防语法错误导致系统无法使用sudo。相比su命令需目标用户密码且缺乏审计，sudo以自身密码认证、支持细粒度授权和日志记录，更安全可控。管理多用户时应遵循最小权限原则，按职责划分用户组统一授权，谨慎使用NOPASSWD选项，并定期审计权限配置，结合Ansible等配置管理工具实现自动化与一致性维护。

在Linux系统中，启用或关闭用户的sudo权限，核心在于修改

/etc/sudoers

文件，或者更常见、更安全地通过管理用户所属的特定系统组（如

sudo

或

wheel

）来实现。简单来说，如果你想让一个用户拥有sudo权限，就把他加入到相应的sudo组里；如果想撤销，就从组里移除，或者在sudoers文件里删除相关配置。

解决方案

为用户启用sudo权限通常有两种主要方式，各有其适用场景和考量：

1. 通过用户组管理（推荐且常用）

这是最直接也最推荐的方法。在大多数现代Linux发行版中，系统会预设一个或多个组，其成员被允许执行

sudo

命令。例如，Debian/Ubuntu系列通常是

sudo

组，而CentOS/RHEL系列则是

wheel

组。

启用权限： 要给用户
```
your_username
```
启用sudo权限，只需将其添加到对应的sudo组中。
```
# 对于基于Debian/Ubuntu的系统
sudo usermod -aG sudo your_username

# 对于基于CentOS/RHEL的系统
sudo usermod -aG wheel your_username
```
这里的
```
-aG
```
参数很重要：
```
-a
```
表示“追加”，
```
-G
```
表示“到指定组”。这样操作会将用户添加到指定组，而不会将其从其他现有组中移除。操作完成后，用户需要注销并重新登录，或者通过
```
su - your_username
```
切换到该用户，新的组权限才会生效。
关闭权限： 撤销用户
```
your_username
```
的sudo权限，只需将其从对应的sudo组中移除。
```
# 对于基于Debian/Ubuntu的系统
sudo gpasswd -d your_username sudo

# 对于基于CentOS/RHEL的系统
sudo gpasswd -d your_username wheel
```
```
gpasswd -d
```
命令用于从组中删除用户。同样，用户需要重新登录才能使权限更改生效。

2. 直接编辑

/etc/sudoers

文件（高级且需谨慎）

这种方式提供了更细粒度的控制，但风险也更高。你需要使用

visudo

命令来编辑

/etc/sudoers

文件，这是因为

visudo

会在保存前检查语法错误，防止你把自己锁在系统之外。

启用权限： 执行
```
sudo visudo
```
命令打开配置文件。在文件末尾或适当位置添加一行：
```
your_username ALL=(ALL:ALL) ALL
```
这行配置的意思是：用户
```
your_username
```
可以在所有主机（
```
ALL
```
）、以任何用户（
```
ALL
```
）、以任何组（
```
ALL
```
）的身份执行任何命令（
```
ALL
```
）。如果你想让某个组的所有成员都拥有sudo权限，可以这样配置（这通常是默认的，比如
```
%sudo
```
或
```
%wheel
```
）：
```
%sudo ALL=(ALL:ALL) ALL
```
保存并退出
```
visudo
```
。
关闭权限： 同样使用
```
sudo visudo
```
命令打开配置文件。找到对应用户或组的配置行，将其删除或在行首添加
```
#
```
进行注释。
```
# your_username ALL=(ALL:ALL) ALL
```
保存并退出。

我个人在日常管理中，更倾向于通过用户组来管理sudo权限。它更简洁，也更不容易出错。只有当需要对特定用户或组进行非常精细的权限控制（比如只允许执行某个特定命令，或者免密码执行某个命令）时，我才会考虑直接编辑

/etc/sudoers

文件。

为什么直接编辑

/etc/sudoers

文件是危险的？

说实话，每次当我需要直接编辑

/etc/sudoers

文件时，我都会有点紧张。这不是因为文件内容有多复杂，而是因为一旦犯错，后果可能非常严重。

visudo

命令的存在，就是为了防止这种“手滑”造成的灾难。

如果你直接用

vi

或其他文本编辑器打开并修改

/etc/sudoers

，万一不小心打错一个字符，比如少了一个括号，或者语法不正确，那么在保存之后，系统将无法正确解析

sudoers

文件。最糟糕的情况是，你将失去所有用户的

sudo

权限，包括你自己！这意味着你将无法再以管理员身份执行任何命令，系统管理将陷入停滞。

我记得有一次，我在一个测试环境里，为了省事直接用

vi

编辑了

sudoers

，结果因为一个空格的问题导致文件格式错误。当时我冷汗都下来了，因为我发现任何

sudo

命令都无法执行了。幸运的是，那只是个测试机，而且我还有root密码可以

su -

进去修复。但在生产环境，这绝对是不能容忍的失误。

visudo

的妙处就在于，它会在你保存文件前，自动帮你检查语法。如果发现错误，它会提示你并让你选择是重新编辑、放弃更改还是强制保存。这个“安全网”至关重要，它能避免很多不必要的麻烦。所以，切记，永远用

visudo

。

sudo

与

su

到底有什么本质区别？

这俩命令在表面上看起来都是为了执行特权操作，但骨子里它们的工作方式和设计哲学截然不同。我经常看到新手会把它们搞混，但理解它们之间的差异对于Linux系统管理和安全至关重要。

sudo

（substitute user do）的核心思想是“以另一个用户的身份执行命令”。默认情况下，这个“另一个用户”就是root。当你使用

sudo command

时，系统会要求你输入你自己的密码，然后根据

/etc/sudoers

文件的配置，判断你是否有权限以root或其他指定用户的身份执行

command

。如果验证通过，

command

就会以目标用户的权限运行，而你的当前shell环境基本不变。

sudo

最大的优势在于其精细的权限控制和审计能力。你可以配置哪些用户可以执行哪些命令，甚至可以限制他们以哪个用户身份执行。而且，所有通过

sudo

执行的命令都会被记录下来，这对于安全审计来说简直是金矿。

su

（substitute user）则更像是“切换用户身份”。当你执行

su - other_user

时，系统会要求你输入目标用户（
other_user
）的密码。如果密码正确，你的当前shell环境会完全切换到

other_user

，包括其环境变量、工作目录等。你就变成了那个用户，可以执行该用户能执行的所有命令。如果你只输入

su

，默认是切换到root用户。

su

的缺点在于，它需要你知晓目标用户的密码，这在多用户协作环境中并不理想，因为它可能导致密码泄露。同时，

su

本身并不提供像

sudo

那样细致的命令级权限控制，也没有内置的审计日志。

我个人更倾向于使用

sudo

。它不仅提供了更好的安全性（无需共享root密码），也提供了更强大的灵活性和可追溯性。在团队协作中，每个管理员都有自己的账户，并通过

sudo

获得必要的权限，这样可以清晰地知道是谁执行了什么操作，责任也更明确。

su

更多地用于在当前会话中快速切换到另一个用户环境，比如测试某个特定用户的配置，或者在没有sudo权限时，通过root密码获取完全控制。

如何安全地管理多个用户的sudo权限？

管理多个用户的sudo权限，远不止简单地加组或删行那么简单，它更像是一门艺术，融合了技术、安全策略和一点点哲学。我的经验告诉我，混乱的权限管理迟早会酿成大祸。

坚持最小权限原则（Principle of Least Privilege）： 这是黄金法则。只赋予用户完成其工作所需的最低权限。如果一个用户只需要重启某个服务，就不要给他执行所有命令的权限。在
```
/etc/sudoers
```
中，你可以这样配置：
```
your_username ALL=/usr/bin/systemctl restart your_service
```
这样，
```
your_username
```
就只能重启
```
your_service
```
，而不能做其他任何事。
利用用户组进行权限分组： 对于拥有相同职责的用户，把他们归入同一个组（比如
```
devops
```
组、
```
dbadmin
```
组），然后给这个组配置sudo权限。这样，当团队成员变动时，你只需要调整用户所属的组，而无需修改
```
sudoers
```
文件。
```
%devops ALL=(ALL) /usr/bin/systemctl restart nginx
```
这比为每个用户单独配置要高效得多。
合理使用
```
NOPASSWD
```
选项： 某些自动化脚本或特定场景下，可能需要用户在执行某些命令时无需输入密码。但请务必谨慎使用
```
NOPASSWD
```
，因为它会大大降低安全性。只对那些低风险、且确实需要免密码执行的命令使用。
```
your_username ALL=(ALL) NOPASSWD: /usr/bin/apt update
```
我一般会把这个选项限制在特定的、无害的命令上，比如
```
apt update
```
或者一些状态查询命令。
定期审计
```
sudoers
```
文件和用户组： 权限配置不是一劳永逸的。随着项目和团队的变化，用户的权限需求也会变。定期（比如每季度）检查
```
/etc/sudoers
```
文件，确保没有多余的、过时的或不安全的配置。同时，检查
```
sudo
```
或
```
wheel
```
组的成员列表，确保只有需要权限的用户在其中。这不仅仅是技术操作，更是一种安全流程的体现。
考虑配置管理工具： 如果你管理着大量的Linux服务器和用户，手动管理
```
sudoers
```
文件会变得非常繁琐且容易出错。这时候，Ansible、Puppet或Chef这类配置管理工具就能派上大用场。它们可以帮助你自动化
```
sudoers
```
文件的部署和管理，确保所有服务器上的权限配置保持一致，并且有版本控制，方便回溯。

总的来说，安全地管理sudo权限是一个持续的过程。它要求我们既要理解技术细节，又要对潜在的安全风险保持警惕，并不断优化我们的管理策略。

# linux # centos # nginx # ubuntu # 工具 # 环境变量 # linux系统 # linux服务器 # 区别 # 为什么 # devops # debian # 自动化 # puppet # ansible # 如果你 # 将其 # 多个 # 切换到 # 移除 # 自己的 # 组中 # 这是 # 你可以 # 当你

相关栏目：【网站优化151355 】【网络推广146373 】【网络技术251813 】【 AI营销90571 】

上一篇：房产网建站过程中，如何集成在线客服功能以提高用户体验？

下一篇：实例解析JAVA中代码的加载顺序

相关栏目网站优化
网络推广
网络技术
AI营销

最新文章 Sublime怎么一键压缩JS代码 Su sublime如何在搜索中使用正则表达式 Sublime如何设置透明窗口效果 Su mysql如何设计商品表结构_mysql css属性背景图不显示怎么办_通过检查路如何使用Golang实现排序_Golan 农历闰月是怎么回事_为合回归年加一月调整塑造《刺客信条》艾吉奥传奇的编剧离开育碧 1英里等于多少公里 1mile和km的换 css grid布局中行和列是如何定义的 PS批量旋转和翻转图片，快速校正图片方向 C# Swagger UI自定义方法 C OPPO手机九宫格和全键盘怎么切换_OP Go语言如何实现用户登录注册_Golan 1节飞行速度多少公里每小时 1节是多少公纸嫁衣8千子树第五章庙门怎么开启庙门 Laravel 多行数据编辑表单中实现逐明日之后如何提升钓鱼等级明日之后提升钓支付宝怎样查年度账单_支付宝年度账单查看 C# 多线程UI更新Dispatcher

上一篇：房产网建站过程中，如何集成在线客服功能以提高用户体验？

下一篇：实例解析JAVA中代码的加载顺序