sudo免密配置应写在/etc/sudoers.d/目录下的.conf文件中,如/etc/sudoers.d/myuser-nopasswd,须用sudo visudo -f编辑并设权限0440,按最小权限原则限定NOPASSWD命令范围。
sudo 免密配置写在哪
免密权限不是写在 /etc/sudoers 文件里就完事了——直接编辑它风险高,容易语法错误导致全员无法用 sudo。正确位置是 /etc/sudoers.d/ 目录下的独立文件,比如 /etc/sudoers.d/myuser-nopasswd。
这个目录下所有以 .conf 结尾的文件都会被 sudo 自动加载,且优先级高于主文件,便于按用户或场景隔离管理。
- 必须用
sudo visudo -f /etc/sudoers.d/myuser-nopasswd编辑,不能直接vim或echo写入——visudo会校验语法,避免锁死sudo - 文件名不能带点(如
my.user.conf)或下划线(部分系统会跳过),推荐纯小写字母 + 连字符 - 文件权限必须是
0440,否则sudo拒绝加载:sudo chmod 0440 /etc/sudoers.d/myuser-nopasswd
指定用户免密的具体写法
核心是用 NOPASSWD: 前缀控制命令范围,不是全开后门。最常见错误是写成 ALL ALL=(ALL) NOPASSWD: ALL,这等于给该用户 root 权限且不设防。
实际应按最小权限原则约束:
- 只对单个命令免密:
myuser ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx - 对一组命令免密(用 Cmnd_Alias):
Cmnd_Alias WEBCTL = /bin/systemctl start nginx, /bin/systemctl stop nginx, /bin/systemctl reload nginx,然后myuser ALL=(ALL) NOPASSWD: WEBCTL - 若真需 shell 级操作(如部署脚本),限定到具体脚本路径:
myuser ALL=(ALL) NOPASSWD: /opt/deploy.sh,别写/opt/*或/opt/
注意:等号前后、括号内外都有空格要求,少一个空格就会语法报错;ALL 是关键字,不是字符串,不能加引号。
为什么改完没生效
常见现象是保存后执行 sudo command 仍要输密码,甚至提示 sudo: parse error in /etc/sudoers.d/myuser-nopasswd。
- 先运行
sudo visudo -c检查全部配置语法,它会逐个扫描/etc/sudoers和/etc/sudoers.d/下所有文件 - 用户组方式配置(如
%webadmin ALL=(ALL) NOPASSWD: ...)时,确认用户确实在该组里:groups myuser -
sudo有 15 分钟密码缓存,默认行为,不是配置失效——用sudo -k清掉缓存再试 - 某些发行版(如 Ubuntu 22.04+)默认启用
pwfeedback,输密码时没回显,容易误以为卡住;但免密配置生效后,连输密码提示都不会出现
安全和兼容性要注意什么
免密不是功能开关,是权限放大器。同一行里混用 PASSWD: 和 NOPASSWD: 很危险,sudo 解析顺序可能导致意外绕过。
- 不要在一行中同时声明两种策略,例如
myuser ALL=(ALL) PASSWD: /bin/ls, NOPASSWD: /bin/systemctl—— 实际效果取决于解析顺序,不同 sudo 版本行为不一致 - RHEL/CentOS 7+ 和 Debian 11+ 的
sudo默认启用requiretty,SSH 非交互式调用(如 Ansible)可能失败,需额外加Defaults:myuser !requiretty - 容器环境(如 Alpine)默认不带
sudo,或版本太老不支持/etc/sudoers.d/,得退回到改主文件或换doas
真正麻烦的从来不是怎么加那行配置,而是想清楚“这个用户接下来五分钟内,到底需要哪几个字节的权限”。多一个 ALL,少一个路径限制,都可能让自动化脚本变成提权入口。
