发布/更新时间:2025年08月05日
CentOS与Rocky Linux系统下Sudo用户创建与权限管理深度指南
Sudo(Super User DO)是Linux系统中关键的安全机制,允许普通用户临时获取root权限执行管理任务。在CentOS和Rocky Linux等企业级服务器环境中,正确配置sudo权限能有效防止未授权访问,提升系统韧性。本指南结合2025年最佳实践,深入解析创建sudo用户的两大方法:通过wheel组集成和直接编辑sudoers文件。
前提条件
- 运行CentOS或Rocky Linux的系统(推荐最新稳定版)。
- 拥有root权限的用户账户。
- 终端访问权限。对于高性能服务器部署,建议参考服务器选择指南优化硬件配置。
方法一:通过Wheel组添加Sudo用户
CentOS和Rocky Linux默认使用wheel组管理sudo权限,成员自动获得特权。以下是分步操作:
- 登录管理员账户:本地登录或通过SSH连接:
ssh root@server_ip_address,替换实际IP地址。 - 创建新用户:执行
adduser username(例如adduser user1),随后设置密码:passwd user1。 - 验证Wheel组启用状态:运行
visudo,检查文件中的%wheel ALL=(ALL) ALL行。如被注释(以#开头),删除#符号保存退出,确保企业级服务器安全策略生效。 - 添加用户至Wheel组:使用
usermod -aG wheel username(例如usermod -aG wheel user1)。 - 测试权限:切换用户
su - username,运行sudo whoami。成功返回root即验证通过。为增强网站安全,建议定期审计权限,可结合网络安全新时代防护策略。
方法二:直接编辑Sudoers文件
若wheel组不可用,直接修改sudoers文件更灵活:
- 编辑Sudoers文件:以root身份运行
visudo打开/etc/sudoers。 - 添加用户权限:在文件中定位
## Allow root to run any commands anywhere,下方添加username ALL=(ALL) ALL(例如user1 ALL=(ALL) ALL)。保存退出前,确保语法正确避免锁死系统。 - 权限测试:同方法一步骤5。在高性能服务器如星创云环境中,此方法适用于定制化权限分配。
安全最佳实践与优化建议
- 最小权限原则:仅授予必要命令的sudo权限,减少攻击面。例如,使用
username ALL=(ALL) /usr/bin/systemctl限制范围。 - 定期审计:通过
sudo -lU username检查用户权限,结合日志监控异常行为。推荐部署免费SSL证书加密通信。 - 性能优化:在VPS主机或独立服务器中,禁用不必要的sudo超时延长(默认15分钟),通过
Defaults timestamp_timeout=5缩短至5分钟提升安全。
正确配置sudo权限是服务器优化的基石,尤其适用于企业法人邮箱等敏感系统。遵循本指南,可确保CentOS/Rocky Linux环境既高效又安全。