一、基础核心用法（必学，日常高频）

sudo的基础用法简单直观，核心是“临时借用高权限”，无需切换到root账号，避免长期使用root带来的安全风险。

1. 单条命令提权（最常用）

这是最基础的用法，直接在需要高权限的命令前加sudo，执行后输入当前用户密码（密码输入时不显示，正常输入即可），即可临时以root权限执行该命令。

sudo 需执行的命令

  示例（查看root目录文件、重启nginx服务）：

sudo ls /root
sudo systemctl restart nginx

2. 切换到root环境（推荐方式）

如果需要连续执行多条高权限命令，反复输入sudo和密码会很繁琐，此时可以切换到root的完整环境，加载root的环境变量、家目录和PATH，操作更便捷。

sudo -i

3. 开启root权限Shell，不切换目录

与sudo -i类似，但不会切换到root的家目录，保持当前用户的工作目录不变，适合需要临时执行高权限命令、但不想离开当前目录的场景。

sudo -s

4. 以指定普通用户身份执行命令

sudo不仅能提权到root，还能临时切换到其他普通用户身份执行命令，适合多用户协作场景（比如操作网站目录时，切换到www-data用户）。

sudo -u 用户名 命令

  示例（以www-data用户创建网站测试文件）：

sudo -u www-data touch /var/www/html/test.html

二、进阶技巧（解决90%的权限坑，提升效率）

掌握基础用法后，这些进阶技巧能帮你避开权限陷阱、提升操作效率，尤其适合日常运维和脚本编写场景。

1. 高频实用sudo参数（记熟能省一半时间）

sudo的常用参数不多，但每一个都能解决特定问题，整理如下（直接套用即可）：

• sudo -l：查看当前用户能使用哪些sudo权限，避免误操作或权限不足；
• sudo -v：刷新密码缓存，默认密码缓存时间是5分钟，执行后5分钟内无需再次输入密码；
• sudo -k：强制清除密码缓存，执行后下次使用sudo必须重新输入密码，适合公共服务器场景；
• sudo -H：强制将HOME环境变量设为目标用户（比如root），避免权限错乱（比如安装软件时路径错误）；
• sudo -E：保留当前用户的环境变量，比如代理配置、PATH路径等，编译软件、执行脚本时常用。

2. 一次性执行多条高权限命令

sudo默认只对第一条命令生效，如果需要执行多条高权限命令，直接用&&连接会失败，此时需要用sh -c包裹所有命令。

sudo sh -c "命令1 && 命令2 && 命令3"

  示例（进入/opt目录、创建test文件夹、设置权限为755）：

sudo sh -c "cd /opt && mkdir test && chmod 755 test"

3. 解决“重定向/管道权限不足”陷阱（最容易踩坑）

很多人会遇到这样的问题：用sudo执行命令+重定向（>、>>）时，明明加了sudo，却提示权限不足。这是因为>、>>是当前shell处理的，不是sudo处理的，shell没有高权限，所以会失败。错误写法（会提示权限不足）：

sudo echo "test" > /root/file

  正确写法（两种均可，推荐第二种，更简洁）：

# 方法1：用sh -c包裹
sudo sh -c 'echo "test" > /root/file'
# 方法2：用tee命令（追加用tee -a）
echo "test" | sudo tee /root/file
echo "test" | sudo tee -a /root/file  # 追加内容，不覆盖原有内容

4. 免密码sudo配置（按需使用，注意安全）

频繁使用sudo时，反复输入密码会很繁琐，此时可以配置免密码sudo，但需遵循“最小权限”原则，避免安全风险。注意：编辑sudo权限配置文件时，必须用visudo命令，不能直接用vim/vi编辑！visudo会自动检查语法，避免写错配置导致sudo失效。

sudo visudo

  配置方式分两种，根据场景选择：

• 方式1：全命令免密码（适合开发机，不推荐生产环境） 在文件末尾添加（替换“你的用户名”为实际用户名）： 你的用户名 ALL=(ALL) NOPASSWD: ALL
• 方式2：特定命令免密码（更安全，推荐生产环境） 只允许免密码执行指定命令（比如重启nginx），其他命令仍需输入密码，添加如下内容：用户名 ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /usr/bin/apt update

配置完成后保存退出，无需重启，立即生效。

5. 查看sudo操作日志（审计必备）

所有sudo操作都会被记录到日志中，方便审计、排查问题，日志位置根据系统版本略有不同：

• CentOS/RHEL系统：日志路径 /var/log/secure
• Ubuntu/Debian系统：日志路径 /var/log/auth.log

查看日志命令（以Ubuntu为例）：

cat /var/log/auth.log  # 查看所有sudo操作日志
grep "sudo" /var/log/auth.log  # 过滤只显示sudo相关日志

三、生产服务器上线·sudo安全配置模板（直接复制可用）

生产环境对系统安全要求极高，sudo配置必须遵循“最小权限、可审计、防误删、防提权”原则。以下是适配CentOS、Ubuntu、Debian所有服务器的安全配置模板，直接复制到sudo visudo中即可上线使用。

1. 使用前必读（安全前提）

• 编辑方式：必须用sudo visudo，自带语法检查，写错保存会报错，避免配置失效；
• 修改前备份：先备份原有sudo配置文件，防止配置错误无法恢复： cp /etc/sudoers /etc/sudoers.bak
• 严禁操作：生产环境绝对不要给任何普通用户配置NOPASSWD: ALL，避免权限泄露。

2. 可直接上线的安全配置模板（带详细注释）

# 全局安全策略（所有用户通用，不可随意修改）
Defaults    env_reset           # 重置环境变量，防止通过环境变量提权
Defaults    mail_badpass        # 密码输错时，向管理员发送邮件提醒（需配置邮件服务）
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"  # 限制sudo可执行命令的路径，防PATH劫持
Defaults    timestamp_timeout=5 # sudo密码缓存时间5分钟，超时需重新输入密码
Defaults    logfile="/var/log/sudo.log" # 统一sudo审计日志路径，方便排查问题
Defaults    !visiblepw         # 禁止明文显示密码，提升安全性
Defaults    always_set_home     # 强制切换HOME环境变量，避免权限错乱
Defaults    passwd_tries=3      # 密码输错3次自动退出，防止暴力破解

# ------------------------------
# 1. 系统管理员组（运维人员专用）
# 拥有完整root权限，但必须输入密码，禁止免密
# ------------------------------
%wheel  ALL=(ALL)       ALL     # CentOS系统运维组（默认存在）
%sudo   ALL=(ALL)       ALL     # Ubuntu/Debian系统运维组（默认存在）

# ------------------------------
# 2. 开发人员组（最小权限配置，最常用）
# 仅允许查看、重启常用服务，禁止删库、改系统配置、提权等高危操作
# ------------------------------
# 允许执行的命令（可根据实际需求添加/删除）
Cmnd_Alias DEV_ALLOW = \
    /usr/bin/systemctl status nginx, \
    /usr/bin/systemctl status mysql, \
    /usr/bin/systemctl status php*, \
    /usr/bin/systemctl reload nginx, \
    /usr/bin/systemctl restart nginx, \
    /usr/bin/journalctl -u nginx, \
    /usr/bin/ls /var/log/*, \
    /usr/bin/tail -f /var/log/*

# 禁止执行的高危命令（绝对不允许修改，防止删库、提权）
Cmnd_Alias DENY_CMD = \
    /usr/bin/rm -rf /, \
    /usr/bin/rm -rf /*, \
    /usr/bin/mkfs*, \
    /usr/bin/dd, \
    /usr/bin/passwd root, \
    /usr/bin/su, \
    /usr/bin/sudo -i, \
    /usr/bin/sudo -s

# 开发组权限分配：允许安全命令，禁止高危命令
%dev    ALL=(ALL)       DEV_ALLOW, !DENY_CMD

# ------------------------------
# 3. 专用服务账号（部署账号专用，免密仅给单一权限）
# 例如：部署账号仅允许免密重启nginx，无其他任何权限，不影响系统安全
# ------------------------------
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/systemctl reload nginx, /usr/bin/systemctl restart nginx

# ------------------------------
# 4. 普通用户（默认无任何sudo权限）
# 无需额外配置，默认情况下，未添加到任何sudo组的用户，无法使用sudo
# ------------------------------

3. 配套审计操作（上线必开）

配置完成后，需开启sudo日志审计，实时监控sudo操作，及时发现异常行为：

# 查看所有sudo操作记录
cat /var/log/sudo.log

# 实时监控sudo操作（运维常用，可后台运行）
tail -f /var/log/sudo.log

4. 上线前必检查4条（关键！）

配置完成后，务必检查以下4点，避免安全隐患：

1. 确认没有任何用户拥有NOPASSWD: ALL权限（除特殊需求外）；
2. 确认禁止命令（DENY_CMD）包含rm -rf /、su、sudo -i等高危命令；
3. 确认所有允许执行的命令都是绝对路径（比如/usr/bin/ls，而非ls），防止PATH劫持；
4. 确认开发组仅能操作指定服务，无法修改系统配置、删除数据。

四、实操脚本：一键创建运维/开发/部署账号（适配安全配置模板）

上面的sudo安全配置模板，对应了运维、开发、部署三类账号/用户组，手动创建账号繁琐且易出错。以下是生产级一键创建脚本，能自动创建三类账号、设置强密码策略，且权限与sudo配置模板完全匹配，适配所有主流Linux系统。

1. 一键创建用户/用户组脚本（生产级，直接复制）

该脚本会自动创建运维组、开发组、部署账号，内置安全加固（禁止空密码、强制密码复杂度），无任何安全风险，执行后即可直接对接sudo安全配置。

#!/bin/bash
# 生产服务器用户/用户组创建脚本
# 适配：CentOS 7+/Ubuntu 18.04+/Debian 10+
# 执行方式：sudo bash create_sudo_users.sh

set -e  # 遇到错误立即退出，防止误操作

# ====================== 配置项（可根据需求修改）======================
# 运维组名称（对应sudo配置里的wheel/sudo组）
OP_GROUP="wheel"
# 开发组名称（对应sudo配置里的dev组）
DEV_GROUP="dev"
# 部署账号名称（对应sudo配置里的deploy账号）
DEPLOY_USER="deploy"
# 初始密码（建议执行后立即修改，生产环境请替换为强密码）
INIT_PWD="DevOps@2026!"
# ====================================================================

# 1. 检查是否以root/ sudo执行（必须root权限）
if [ $UID -ne 0 ]; then
    echo "错误：请使用 sudo 或 root 权限执行此脚本！"
    exit 1
fi

# 2. 创建用户组（已存在则跳过，避免重复创建）
echo "===== 1. 创建用户组 ====="
if ! grep -q "^$OP_GROUP:" /etc/group; then
    groupadd $OP_GROUP
    echo "✅ 运维组 $OP_GROUP 创建成功"
else
    echo "ℹ️  运维组 $OP_GROUP 已存在，跳过"
fi

if ! grep -q "^$DEV_GROUP:" /etc/group; then
    groupadd $DEV_GROUP
    echo "✅ 开发组 $DEV_GROUP 创建成功"
else
    echo "ℹ️  开发组 $DEV_GROUP 已存在，跳过"
fi

# 3. 创建运维用户示例（以 op_user 为例，可复制多行创建多个运维用户）
echo -e "\n===== 2. 创建运维用户 ====="
OP_USER="op_user"
if ! id -u $OP_USER >/dev/null 2>&1; then
    useradd -m -g $OP_GROUP -s /bin/bash $OP_USER  # 创建用户，指定所属组、登录shell
    echo "$OP_USER:$INIT_PWD" | chpasswd  # 设置初始密码
    # Ubuntu/Debian 需额外添加到sudo组（兼容处理）
    if [ -f /etc/os-release ] && grep -qi "ubuntu\|debian" /etc/os-release; then
        usermod -aG sudo $OP_USER
    fi
    echo "✅ 运维用户 $OP_USER 创建成功，初始密码：$INIT_PWD"
else
    echo "ℹ️  运维用户 $OP_USER 已存在，跳过"
fi

# 4. 创建开发用户示例（以 dev_user 为例，可复制多行创建多个开发用户）
echo -e "\n===== 3. 创建开发用户 ====="
DEV_USER="dev_user"
if ! id -u $DEV_USER >/dev/null 2>&1; then
    useradd -m -g $DEV_GROUP -s /bin/bash $DEV_USER
    echo "$DEV_USER:$INIT_PWD" | chpasswd
    echo "✅ 开发用户 $DEV_USER 创建成功，初始密码：$INIT_PWD"
else
    echo "ℹ️  开发用户 $DEV_USER 已存在，跳过"
fi

# 5. 创建部署专用账号（仅用于部署，权限最小）
echo -e "\n===== 4. 创建部署账号 ====="
if ! id -u $DEPLOY_USER >/dev/null 2>&1; then
    useradd -m -s /bin/bash $DEPLOY_USER
    echo "$DEPLOY_USER:$INIT_PWD" | chpasswd
    echo "✅ 部署账号 $DEPLOY_USER 创建成功，初始密码：$INIT_PWD"
else
    echo "ℹ️  部署账号 $DEPLOY_USER 已存在，跳过"
fi

# 6. 安全加固：禁止空密码登录、强制密码复杂度（提升系统安全性）
echo -e "\n===== 5. 安全加固 ====="
# 禁止空密码登录（修改sshd配置）
sed -i 's/^#*PermitEmptyPasswords.*/PermitEmptyPasswords no/' /etc/ssh/sshd_config
# 强制密码复杂度（CentOS系统专用，Ubuntu/Debian无需额外配置）
if [ -f /etc/redhat-release ]; then
    yum install -y pam_cracklib >/dev/null 2>&1  # 安装密码复杂度校验工具
    sed -i '/^password.*pam_cracklib.so/ s/$/ minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1/' /etc/pam.d/system-auth
fi
# 重启sshd服务，使配置生效
systemctl restart sshd >/dev/null 2>&1
echo "✅ 安全加固完成：禁止空密码登录、强制密码复杂度"

# 7. 执行完成提示（重要提醒，务必查看）
echo -e "\n===== 执行完成 =====
⚠️  重要提醒：
1. 请立即登录各账号修改初始密码：passwd 用户名（生产环境必须做！）
2. 运维用户 $OP_USER 拥有完整sudo权限，负责系统整体管理
3. 开发用户 $DEV_USER 仅能操作指定服务（如nginx、mysql），无高危权限
4. 部署账号 $DEPLOY_USER 仅能免密重启nginx，无其他任何权限
5. 可执行 'id 用户名' 验证用户组是否配置正确"

2. 脚本使用步骤（简单4步，直接上手）

1. 保存脚本：将上述脚本内容复制，保存为create_sudo_users.sh（文件名可自定义，后缀为.sh即可）；
2. 添加执行权限：给脚本赋予可执行权限，否则无法执行： chmod +x create_sudo_users.sh
3. 执行脚本：必须用sudo或root权限执行，否则会报错： sudo bash create_sudo_users.sh
4. 修改初始密码（关键！生产环境必做）：脚本生成的初始密码是统一的，执行后必须立即修改，避免密码泄露： passwd op_user # 修改运维用户密码 passwd dev_user # 修改开发用户密码 passwd deploy # 修改部署账号密码

3. 配置验证（确保权限匹配，避免出错）

脚本执行完成后，建议做一次验证，确认用户组、sudo权限配置正确，避免后续操作出现权限问题。

（1）验证用户组配置

执行以下命令，查看用户所属组是否正确：

id op_user   # 应显示属于 wheel 组（CentOS）或 sudo 组（Ubuntu/Debian）
id dev_user  # 应显示属于 dev 组
id deploy    # 无特殊组，默认属于自己的同名组即可

（2）验证sudo权限（开发用户）

开发用户应仅能执行允许的命令，无法执行高危命令，验证步骤：

su - dev_user  # 切换到开发用户
sudo -l        # 查看开发用户能执行的sudo命令
sudo rm -rf /  # 尝试执行高危命令，应提示权限不足（验证成功）

（3）验证部署账号免密权限

部署账号应仅能免密执行重启nginx命令，其他命令无权限：

su - deploy  # 切换到部署账号
sudo systemctl restart nginx  # 无需输入密码，可正常执行（验证成功）
sudo ls /root  # 尝试查看root目录，应提示权限不足（验证成功）

五、总结与安全提醒

本文从sudo基础用法、进阶技巧，到生产级安全配置、一键实操脚本，覆盖了sudo提权的全场景，核心原则是“最小权限”——给用户分配刚好能完成工作的权限，避免权限过大导致的安全风险。最后，再强调3个生产环境必注意的安全点：

• 禁止直接使用sudo su切换root，优先使用sudo -i，更安全、更规范；
• 生产环境绝对不要给普通用户配置NOPASSWD: ALL，免密仅适用于专用部署账号，且仅开放单一命令权限；
• 定期查看sudo操作日志，及时发现异常操作，避免系统被非法提权、数据被删除。

按照本文的配置和脚本操作，既能满足日常运维、开发的需求，又能保障Linux服务器的安全，可直接应用于生产环境上线使用。

版权所属：SO JSON在线解析

原文地址：https://www.sojson.com/blog/582.html

转载时必须以链接形式注明原始出处及本声明。

如果本文对你有帮助，那么请你赞助我，让我更有激情的写下去，帮助更多的人。

￥我需要走的更远，点击我 赞助。 如果还有疑问，点击我加群，为你提供最好的解答。