su sudo 限制root远程登录

sudo给普通用户授权root用户的身份。

visudo打开sudo的配置文件"/etc/sudoers.tmp" 112L, 3938C

 最核心的部分：

   ALL  指的是在哪里

（ALL）指的是主机用户

后面的ALL 表示所有的命令,也可以自定义命令

正常情况下，普通用户ls root/目录是没有权限的

第一次执行需要输入密码，第二次就不用输入密码

第一次输入英文显示如下：

翻译：

 不让用户输入密码

切换到user1

[root@tingaolinux ~]# su - user1

上一次登录：二 11月 21 01:28:52 CST 2017pts/0 上

su: 警告：无法更改到 /home/user1 目录: 没有那个文件或目录

-bash-4.2$ su root

密码：

[root@tingaolinux ~]# mkdir /home/user1

[root@tingaolinux ~]# cp /etc/skel/.bash* !$

cp /etc/skel/.bash* /home/user1

[root@tingaolinux ~]# chown  user1:user1 /home/user1

[root@tingaolinux ~]# su - user1

上一次登录：三 11月 29 20:50:31 CST 2017pts/0 上

[user1@tingaolinux ~]$ sudo  ls  /root/

  测试

[tingao@tingaolinux ~]$ sudo ls /root

[sudo] tingao 的密码：

111  1.txt.bak anaconda-ks.cfg.1  tingao

[tingao@tingaolinux ~]$ sudo cat /root/1.txt.bak

用户组

就是说，一些用户用到了同样的命令，可以把这些命令放到一个用户组里，对用户组进行操作。

例如：$wheel用户组

 修改 sudoers 文件注意事项

1、操作时最好用 echo >>追加，不过 cat sed 同样也可以实现（不常用）

2、修改完成后一定记得检查语法 visudo -c

3、确保/etc/sudoers 默认的权限是 440（防止权限误用）

4、及时验证修改的配置是否正确

5、确保知道 root 密码，以便普通用户可以通过 sudo su -命令切换

6、修改授权某用户权限成功后，切换到用户下面，用 sudo -l 来查看自己拥有哪些权限

限制root用户远程登录

如果root用户的密码被盗窃了，而你的服务器又没有限制使用密匙登录，那么就悲剧了。所以，限制root远程登录还是有一定的必要性的。那么怎么操作呢？

我们想一想，首先ssh那里应该禁止掉。但是禁止掉那里的话，我们想用root用户进行一些操作怎么办呢？对，可以用su命令切换过去，但是我们知道，在切换的时候需要输入密码，而我们root的密码又不能随便给普通用户。这时候我们想到了sudo命令，它里面有一个NOPASSWD选项，可以避免我们输入密码

关闭ssh配置的root登录：

修改/etc/ssh/sshd_config：

#LoginGraceTime 2m
PermitRootLogin no


重启服务：
systemctl  restart sshd.service

然后以普通用户身份登录后切换root登录 sudo  su  - root

 备注：

可以给普通用户设置部分权限，不要全部授予权限。

禁用掉root用户登录后：

可以给一个用户授予sudo权限，之后自己用这个用户切换到root用户下。或者都不给普通用户sudo权限，自己实体机登录root,不远程登录。

然后其他用户授予部分权限。