如何在Linux中配置sudo超时 Linux sudoers时间设置

P粉602998670

发布时间：2025-08-31 09:19:01

333人浏览过

来源于php中文网

原创

sudo超时是Linux中sudo权限的有效时间，默认15分钟，可通过修改/etc/sudoers文件中的timestamp_timeout值来配置，单位为分钟，推荐使用visudo命令编辑以避免语法错误；可设置全局超时时间，如Defaults env_reset,timestamp_timeout=30表示30分钟，0表示每次需密码，-1表示永不过期（不推荐）；还可为特定用户设置不同超时，如alice ALL=(ALL:ALL) ALL, !timestamp_timeout=5表示用户alice超时5分钟，!符号用于覆盖全局设置；此外，可配置NOPASSWD: ALL实现免密sudo，但存在安全风险，建议仅限必要命令使用；合理配置sudo超时能有效降低未授权操作风险，平衡安全性与便利性。

如何在linux中配置sudo超时 linux sudoers时间设置

sudo超时是指在Linux系统中，用户使用

sudo

命令获得管理员权限后，权限保持有效的时间。配置sudo超时可以提高安全性，避免用户离开终端后，其他人利用其未过期的sudo权限执行恶意操作。默认情况下，sudo超时时间是15分钟。

配置sudo超时主要通过修改

/etc/sudoers

文件来实现。

解决方案：

使用
```
visudo
```
命令编辑
/etc/sudoers
文件。这是推荐的做法，因为
```
visudo
```
会在保存前检查语法错误，避免破坏系统。
```
sudo visudo
```
找到
```
Defaults env_reset
```
这一行（或者类似以
Defaults
开头的行）。如果没有，可以手动添加。
添加或修改
```
timestamp_timeout
```
选项。
```
timestamp_timeout
```
选项控制sudo超时时间，单位是分钟。
- 设置超时时间为30分钟：
```
Defaults        env_reset,timestamp_timeout=30
```
- 设置超时时间为0分钟，每次使用
```
sudo
```
  都需要输入密码：
```
Defaults        env_reset,timestamp_timeout=0
```
- 设置超时时间为-1分钟，sudo权限永不过期（不推荐，安全风险高）：
```
Defaults        env_reset,timestamp_timeout=-1
```
保存并关闭文件。
```
visudo
```
会自动检查语法，如果有错误会提示你修改。
测试配置。 打开一个新的终端窗口，尝试使用
```
sudo
```
命令，观察超时时间是否符合预期。

sudoers时间设置：

```
/etc/sudoers
```
文件还控制着用户或用户组可以使用
```
sudo
```
命令的权限。
可以针对特定用户或用户组设置不同的超时时间。
例如，允许用户
```
alice
```
使用
```
sudo
```
，超时时间为5分钟：

LongCat AI
美团推出的AI对话问答工具

下载
```
alice ALL=(ALL:ALL) ALL, !timestamp_timeout=5
```
注意这里的
```
!
```
符号表示覆盖全局设置。

为什么需要配置sudo超时？

默认的15分钟超时时间可能对于某些用户来说太长了。想象一下，一个开发人员使用

sudo

安装了一些软件包，然后离开了座位去喝咖啡。如果其他人趁机使用该开发人员的终端，就可以利用其未过期的

sudo

权限执行任何操作，这会带来严重的安全风险。配置sudo超时可以减少这种风险，确保用户在使用完

sudo

后及时释放权限。

如何为特定用户设置不同的sudo超时时间？

全局设置

timestamp_timeout

会影响所有用户。如果需要为特定用户设置不同的超时时间，可以使用

username ALL=(ALL:ALL) ALL, !timestamp_timeout=X

这样的语法，其中

username

是用户名，

是超时时间（分钟）。例如，要为用户

bob

设置超时时间为60分钟，可以这样配置：

bob ALL=(ALL:ALL) ALL, !timestamp_timeout=60

需要注意的是，这种配置方式会覆盖全局设置，所以要谨慎使用。如果用户已经有其他sudo权限配置，需要将

!timestamp_timeout=X

添加到现有的配置中。

如何禁用sudo密码验证？

虽然不推荐，但在某些情况下，可能需要禁用

sudo

密码验证，允许用户无需输入密码即可使用

sudo

命令。这可以通过修改

/etc/sudoers

文件来实现。

允许用户
```
alice
```
无需密码即可使用
```
sudo
```
：
```
alice ALL=(ALL:ALL) NOPASSWD: ALL
```
```
NOPASSWD:
```
选项表示无需密码。同样，这种配置方式需要谨慎使用，因为它会降低系统的安全性。
如果需要限制
```
alice
```
只能执行特定的命令而无需密码，可以这样配置：
```
alice ALL=(ALL:ALL) NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade
```
这样，
```
alice
```
就可以无需密码执行
```
apt update
```
和
```
apt upgrade
```
命令，但执行其他
```
sudo
```
命令时仍然需要密码。

配置sudo超时是一个重要的安全措施，应该根据实际需求进行合理配置。记住，安全性和便利性之间需要权衡，不应该为了方便而牺牲安全性。

K3s pod 拉镜像特别慢或超时但宿主机 docker/crictl pull 正常

SELinux AVC denied 大量刷日志但服务正常运行的临时 permissive 排查

sysctl net.ipv4.tcp_tw_recycle=1 已废弃后替代方案与风险

dmesg 显示 "INFO: rcu detected stall" 的 CPU 卡死或中断风暴解决

rsync --delete 误删目标目录的 --dry-run + 备份恢复流程

相关专题

磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制，就是管理员可以为用户所能使用的磁盘空间进行配额限制，每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容，教程，供大家免费下载安装。

1349

2023.06.21

如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章，还有相关的下载、课程，大家可以免费体验。

704

2023.06.29

linux find

find是linux命令，它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合，只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression，在命令列上第一个 - ( ) , ! 之前的部分为 path，之后的是 expression。还有指DOS 命令 find，Excel 函数 find等。本站专题提供linux find相关教程文章，还有相关

294

2023.06.30

linux修改文件名

本专题为大家提供linux修改文件名相关的文章，这些文章可以帮助用户快速轻松地完成文件名的修改工作，大家可以免费体验。

776

2023.07.05

linux系统安装教程

linux系统是一种可以免费使用，自由传播，多用户、多任务、多线程、多CPU的操作系统。本专题提供linux系统安装教程相关的文章，大家可以免费体验。

573

2023.07.06

linux查看文件夹大小

Linux是一种自由和开放源码的类Unix操作系统，存在着许多不同的Linux版本，但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中，比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。linux怎么查看文件夹大小呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

546

2023.07.20