Linux怎么让普通用户获取sudo权限-linux运维-PHP中文网

Linux怎么让普通用户获取sudo权限

P粉602998670

发布： 2025-09-12 08:44:01

原创

1194人浏览过

将普通用户添加到sudo或wheel组是赋予其sudo权限的推荐方法，通过usermod -aG命令实现，随后使用visudo配置精细化权限并用sudo -l验证，确保安全审计与权限管理。

linux怎么让普通用户获取sudo权限

在Linux系统里，让普通用户获取

sudo

登录后复制

权限，本质上就是赋予他们以root用户的身份执行特定命令的能力，但又不必直接登录root账户。这通常通过两种主要方式实现：将用户添加到系统预设的

sudo

登录后复制

（或

wheel

登录后复制

）用户组，或者直接编辑

/etc/sudoers

登录后复制

文件来配置更精细的权限。这样做，是为了在系统安全性和日常操作便利性之间找到一个平衡点。

解决方案

要让普通用户获取

sudo

登录后复制

权限，最直接且推荐的方式是将其加入到系统预定义的

sudo

登录后复制

用户组。这个组通常被配置为拥有执行所有命令的权限。

具体操作步骤如下：

切换到root用户或使用现有sudo权限的用户： 你需要一个已经拥有root权限或sudo权限的账户来执行这些操作。
```
su -
# 或者如果你已经有sudo权限
sudo -i
```
登录后复制
将目标用户添加到
```
sudo
```
登录后复制
组：假设你要赋予权限的用户名为
```
yourusername
```
登录后复制
。
```
usermod -aG sudo yourusername
```
登录后复制
在某些发行版（如CentOS/RHEL）中，这个组可能被称为
```
wheel
```
登录后复制
。你可以这样添加：
```
usermod -aG wheel yourusername
```
登录后复制
```
-a
```
登录后复制
选项表示“append”（追加），
```
-G
```
登录后复制
选项指定要追加的用户组。这确保用户保留其现有组，同时也被添加到
```
sudo
```
登录后复制
组。
验证权限（可选但推荐）： 让用户注销并重新登录，或者干脆重启系统（对于某些环境，这是最稳妥的）。然后，该用户可以尝试执行一个需要
```
sudo
```
登录后复制
权限的命令，例如：
```
sudo ls /root
```
登录后复制
如果提示输入密码，输入该用户自己的密码即可。成功执行则表示权限已生效。

为什么不建议直接使用root用户操作？

这其实是个老生常谈但又极其重要的问题。我个人觉得，直接用

root

登录后复制

账户处理日常任务，就像在家里用手术刀切菜，不是不行，但风险实在太高了。

root

登录后复制

用户拥有系统的一切权限，一个不小心，一个手滑，或者一个命令参数输错，都可能导致系统崩溃、数据丢失，甚至安全漏洞被利用。我就见过有人在生产环境直接用

root

登录后复制

执行删除命令，结果删错了目录，那场面真是让人记忆深刻。

使用

sudo

登录后复制

则提供了一个“最小权限原则”的实践路径。它允许普通用户在需要时临时提升权限，只执行那些确实需要

root

登录后复制

权限的命令，而且每次执行都需要输入用户自己的密码。这不仅增加了操作的审慎性，也为审计留下了痕迹，一旦出了问题，我们更容易追溯是哪个用户在什么时候执行了什么命令。它就像给手术刀装了个保险，每次用之前都得手动解锁一下，提醒你“注意，这是危险工具！”

iMuse.AI

iMuse.AI 创意助理，为设计师提供无限灵感！

139

查看详情

如何安全地为用户添加sudo权限？

安全性是赋予

sudo

登录后复制

权限时最需要考量的一点。除了前面提到的将用户加入

sudo

登录后复制

组这种常见且相对安全的方法外，我们还可以通过精细化配置

/etc/sudoers

登录后复制

文件来进一步提升安全性，但这就需要更小心了。

首先，永远不要直接用文本编辑器（比如

vi

登录后复制

或

nano

登录后复制

）去编辑

/etc/sudoers

登录后复制

文件。正确的做法是使用

visudo

登录后复制

命令。

visudo

登录后复制

会在你编辑文件前锁定它，并且在保存时检查语法错误。如果语法有误，它会拒绝保存，这能有效避免你因为一个拼写错误就把整个

sudo

登录后复制

机制搞瘫痪，导致所有用户都无法使用

sudo

登录后复制

，甚至连root都无法登录（如果root密码也忘了的话，那可就麻烦了）。

通过

visudo

登录后复制

，你可以为用户配置更具体的权限，例如：

yourusername ALL=(ALL) /usr/bin/apt update, /usr/bin/apt upgrade

登录后复制

这行配置意味着

yourusername

登录后复制

用户可以以任何用户身份（第一个

ALL

登录后复制

）在任何主机上（第二个

ALL

登录后复制

）执行

/usr/bin/apt update

登录后复制

和

/usr/bin/apt upgrade

登录后复制

这两个命令，而不能执行其他命令。这样就大大限制了潜在的破坏性。对于更高级的场景，比如给特定用户组配置免密码执行某些命令，或者限制他们只能在特定终端执行

sudo

登录后复制

，

visudo

登录后复制

都能做到。但话说回来，越是精细的配置，出错的概率也越高，所以对于大多数日常管理，加入

sudo

登录后复制

组已经足够。

授予sudo权限后，如何验证并管理？

授予权限后，验证是第一步，也是最重要的一步。用户可以简单地运行

sudo -v

登录后复制

命令。如果提示输入密码并成功返回，就说明

sudo

登录后复制

权限已经生效。

sudo -l

登录后复制

命令则可以列出当前用户可以执行的所有

sudo

登录后复制

命令，这对于验证特定权限配置（比如通过

visudo

登录后复制

精细配置的）尤其有用。

至于管理，这通常涉及到权限的审计和撤销。

审计：

sudo

登录后复制

的日志通常记录在

/var/log/auth.log

登录后复制

（Debian/Ubuntu）或

/var/log/secure

登录后复制

（CentOS/RHEL）中。定期检查这些日志，可以了解哪些用户在什么时候执行了哪些

sudo

登录后复制

命令，这对于安全监控和问题排查至关重要。

撤销： 如果某个用户不再需要

sudo

登录后复制

权限，或者出于安全考虑需要暂时移除，你可以使用以下命令将其从

sudo

登录后复制

组中移除：

gpasswd -d yourusername sudo

登录后复制

或者，如果你是通过

/etc/sudoers

登录后复制

文件直接配置的，那就再次使用

visudo

登录后复制

命令，删除或注释掉相关的配置行。

管理

sudo

登录后复制

权限是一个持续的过程，它要求管理员不仅要理解如何赋予权限，更要理解何时赋予、赋予多少，以及如何监控和撤销。这就像管理一个团队，你给成员权力，但也要确保他们能正确使用，并且在必要时能收回。

以上就是Linux怎么让普通用户获取sudo权限的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Linux如何构建网络切换容错机制_Linux故障切换系统 Linux如何查看服务器日志信息_Linux日志系统详解 Linux如何管理系统文件句柄上限_LinuxFs配置调整 Linux如何构建系统异常事件告警_Linux告警中心部署 Linux如何防止系统被植入恶意脚本_Linux脚本安全检测