1.1 把用户添加到组里

1.1.1 把某个用户添加到某个组

# gpasswd -a <user> <group>

或者：

# gpasswd –add <user> <group>

或者：

# gpasswd -M <group>

或者：

# gpasswd –members <group>

1.1.2 把多个用户添加到某个组

# gpasswd -a <user1>,<user2> <group>

或者：

# gpasswd –add <user1>,<user2> <group>

或者：

# gpasswd -M <user1>,<user2> <group>

或者：

# gpasswd –members <user1>,<user2> <group>

2.2 把用户从组里删除

2.2.1 把某个用户从某个组里删除

# gpasswd -d <user> <group>

或者：

# gpasswd –delete <user> <group>

2.2.2 把多个用户添加到某个组

# gpasswd -d <user1>,<user2> <group>

或者：

# gpasswd –delete <user1>,<user2> <group>

2.3 将某个用户设置为组的管理员

# gpasswd -A <user> <group>

或者：

# gpasswd –administrators <user> <group>

内容三：组的密码管理

3.1 给某个组设置密码

# gpasswd <group>

3.2 删除某个组的密码

# gpasswd –r <group>

或者：

# gpasswd –remove-password <group>

内容四：组的登录管理

限制某个组登录

# gpasswd -R <group>

或者：

# gpasswd –restrict <group>

内容五：显示帮助信息

# gpasswd -h

或者：

# gpasswd -help

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

# vim time_format_conversion.pl

创建以下内容：

s/(1\d{9})/localtime($1)/e

（补充：这里以创建名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

步骤二：转换 audit 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

（补充：这里以使用名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一：监控某个目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/tmp -F perm=rwxa

（补充：这里以监控目录 /tmp 里的目录和文件为例）

1.1.2 案例二：监控某个文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

（补充：这里以监控目录 /dev/null 文件为例）

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二：显示 audit 监控记录

# cat /var/log/audit

（
补充：记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

# ls -ld /usr/local/bin /usr/local/sbin /usr/bin/ /usr/sbin
dr-xr-xr-x. 2 root root 53248 Jun 24 15:09 /usr/bin/
drwxr-xr-x. 3 root root  4096 Jun 21  2021 /usr/local/bin
drwxr-xr-x. 2 root root     6 Jun 21  2021 /usr/local/sbin
dr-xr-xr-x. 2 root root 20480 Jun 24 15:09 /usr/sbin

# mount -o remount,nosuid,nodev,noexec /dev/shm

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

内容二：开机自动重新挂载目录

# vim /etc/fstab

添加以下内容：

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

如果 Umask 的值是 0022：
创建的新目录的默认权限是：777 – 022 = 755
创建的新文件的默认权限是：666 – 022 = 644

内容二：临时设置 Umask

2.1 查看当前 Umask 值

# umask
0022

2.2 临时设置 Umask 值

2.2.1 方法一：使用权限数字设置默认权限值

# umask 0002

2.2.2 方法二：使用权限标志设置默认权限值

# umask -S u=rwx,g=rwx,o=rw

内容三：永久设置 umask

3.1 给某个用户单独永久设置 Umask

3.1.1 切换到要永久设置 Umask 的用户

# su - root

（补充：这里以切换到 root 用户为例）

3.1.2 给某个用户单独添加 Umask 参数

# vim ~/.bashrc 

添加以下内容：

......
umask 022

（补充：这里以将 Umask 设置为 022 为例）

3.1.3 让 Umask 设置生效

# source ~/.bashrc

3.2 全局永久设置 Umask 的方法

3.2.1 在 /etc/login.defs 配置文件里设置默认 Umask 参数

# vim /etc/login.defs

将以下内容：

UMASK ......

修改为：

UMASK           022

（补充：这里以将 Umask 的默认值设置为 022 为例）

3.2.2 在 /etc/profile 配置文件里设置全局 Umask 参数

# vim /etc/profile

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意：openSUSE & SLE 的 /etc/profile 配置文件里没有这些内容，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建这些内容）

或者：

# vim /etc/profile

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

3.2.3 在 /etc/bashrc 配置文件里设置全局 Umask 参数

# vim /etc/bashrc

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意： openSUSE & SLE 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建此文件和这些内容）

或者：

# vim /etc/bashrc

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

（注意： openSUSE & SLE 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建此文件）

3.2.4 让永久设置的 Umask 设置生效

# source /etc/bashrc ; source /etc/profile

（
注意：
1) 当永久设置的 Umask 生效后，用户必须要重新登录后才会刷新 Umask
2) 当 /etc/login.defs 配置文件、/etc/bashrc 配置文件和 /etc/profile 配置文件里设置的 Umask 值不一致时，会以 /etc/profile 文件里设置的为准
3) 当同一个文件里设置了多个 Umask 个值时，会以最后一个值为准
）

1.1 给某一个文件或目录添加一个用户的 acl

# setfacl -m u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 用户设置读和执行的 acl 权限为例）

1.2 给某一个文件或目录添加一个组的 acl

# setfacl -m g:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 组设置读和执行的 acl 权限为例）

1.3 递归给某一个目录和目录里的所有内容添加一个 acl

# setfacl -Rm u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归给 zhumingyu 组设置读和执行的 acl 权限为例）

案例二：删除某一个文件或目录的 acl

2.1 删除某一个文件或目录一个用户的 acl

# setfacl -x u:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 用户的 acl 权限为例）

2.2 删除某一个文件或目录一个组的 acl

# setfacl -x g:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 组的 acl 权限为例）

2.3 删除某一个文件或目录的所有 acl

# setfacl -b /var

（补充：这里以在 /var 目录上删除所有 acl 权限为例）

2.4 递归删除某一个文件或目录的 acl

# setfacl -Rx u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归删除 zhumingyu 用户的 acl 权限为例）

2.5 递归删除某一个文件或目录的所有 acl

# setfacl -Rb /var

（补充：这里以在 /var 目录上递归删除所有 acl 权限为例）

案例三：显示某一个文件或目录的 acl

# getfacl /var

（补充：这里以显示 /var 目录的 acl 权限为例）

案例四：备份和还原某一个文件或目录的 acl

4.1 备份某一个文件或目录的 acl

# getfacl -R /var > /acl.backup

（补充：这里以备份 /var 目录的 acl 权限为例）

4.2 还原某一给文件或目录的 acl

# setfacl --restore /acl.backup

（补充：这里以还原 /var 目录的 acl 权限为例）

# chown root test.txt

或者：

# chown root: test.txt

案例二：将 test.txt 的所属组设置为 root

# chown :root test.txt

案例三：将 test.txt 的所数主设置为 root，所属组设置为 root

# chown root:root test.txt

1.1 普通权限的介绍

1.1.1 对于文件而言

1) r 代表读权限
2) w 代表写权限
3) x 代表执行权限

1.1.2 对于目录而言

1) r 代表可以看到目录的权限
2) w 代表可以对目录进行增、删、改、查和在里面创建文件和目录的权限
3) x 代表可以进入目录的权限

（注意：对于目录而言，x 权限必须要和 r 权限配合使用，如果只有 x 权限没有 r 权限，则依旧不能进入目录）

1.1.3 用数字代替权限的方法

1) 0 代表 —
2) 1 代表 –x
3) 2 代表 -w-
4) 3 代表 -wx
5) 4 代表 r–
6) 5 代表 r-x
7) 6 代表 rw-
8) 7 代表 rwx

1.2 管理权限案例

1.2.1 给一个文件或目录添加权限的案例

1.2.1.1 案例一

# chmod u+x test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限为例）

1.2.1.2 案例二

# chmod u+r,g+w test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限，给文件的所属组添加写权限为例）

1.2.1.3 案例三

# chmod +x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限为例）

1.2.1.4 案例四

# chmod a+x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限为例）

1.2.2 给一个文件或目录撤销权限的案例

1.2.2.1 案例一

# chmod u-x test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限为例）

1.2.2.2 案例二

# chmod u-r,g-w test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限，给文件的所属组撤销写权限为例）

1.2.2.3 案例三

# chmod -x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限为例）

1.2.2.4 案例四

# chmod a-x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限为例）

1.2.3 设定某一个文件或目录的权限的案例

1.2.3.1 案例一

# chmod u=rwx test.txt 

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限为例）

1.2.3.2 案例二

# chmod u=rw- test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限为例）

1.2.3.3 案例三

# chmod u=--- test.txt

或者：

# chmod u= test.txt

（补充：这里以设置 test.txt 文件的所属主没有任何权限为例）

1.2.3.4 案例四

# chmod u=rw,g=, test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限为例）

1.2.3.5 案例五

# chmod u=rw,g=---,0= test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限。设置文件的其他用户没有任何权限为例）

1.2.3.6 案例六

# chmod 755 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限。设置文件的所属组有读和执行的权限。设置文件的其他用户有读和执行的权限为例）

内容二：特殊权限的管理

2.1 特殊权限 SUID

2.1.1 SUID 介绍

1) SUID：全名 Set UID
2) SUID 的作用：让没有此文件执行权限的用户，可以执行这个文件
3) SUID 的权限数字 4000

2.1.2 SUID 权限的添加的案例

2.1.2.1 添加 SUID 权限的案例

# chmod u+s test.txt

（补充：这里以给 test.txt 文件添加 SUID 权限为例）

或者：

# chmod 4644 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SUID 权限为例）

2.1.2.2 显示 SUID 权限的添加情况的案例

2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例

# ls -l test.txt 
-rwSr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例

# ls -l test.txt 
-rwsr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.2 特殊权限 SGID

2.2.1 SGID 介绍

1) SGID：全名 Set GID
2) SGID 的作用：在此目录下创建的文件，将都和此目录的所属组一样
3) SGID 的权限数字 2000

2.2.2 SGID 权限的添加的案例

2.2.2.1 添加 SGID 权限的案例

# chmod g+s test

（补充：这里以给 test.txt 文件添加 SGID 权限为例）

或者：

# chmod 2644 test

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SGID 权限为例）

2.2.2.2 显示 SGID 权限的添加情况的案例

2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例

# ls -l test
-rw-r-Sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例

# ls -l test
-rw-r-sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3 特殊权限 SBIT

2.3.1 SBIT 介绍

1) SBIT：全名 Sticky Bit
2) SBIT 的作用：在此目录下创建的文件，只有创建此文件的用户和 root 用户可以删除
3) SBIT 的权限数字 1000

2.3.2 SBIT 权限的添加的案例

2.3.2.1 添加 SBIT 权限的案例

# chmod o+t test

（补充：这里以给 test.txt 文件添加 SBID 权限为例）

或者：

# chmod 1644 test

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SBID 权限为例）

2.3.2.2 显示 SBIT 权限的添加情况的案例

2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例

# ls -l test
-rw-r--r-T 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

# ls -l test
-rw-r--r-t 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

sudo 命令可以让非 root 用户，在不知道 root 的密码的情况之下以 root 的身份执行某一些命令
但是要实现这一目标需要提前修改 sodu 的配置文件

内容二：修改 sudo 配置文件的方法

# visudo

（注意：此方法可以在保存退出时检查 sudo 文件有没有语法错误）

或者：

# sudoedit /etc/sudoers

（注意：此方法可以在保存退出时检查 sudo 文件有没有语法错误）

或者：

# vi /etc/sudoers

（注意：此方法不能在保存退出时检查 sudo 文件有没有语法错误）

或者：

# vi /etc/sudoers

（注意：此方法不能在保存退出时检查 sudo 文件有没有语法错误）

内容三：修改 sudo 配置文件的案例

3.1 案例一：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　ALL  
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.2 案例二：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: ALL  
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.3 案例三：让 zhumingyu 用户可以通过 sudo 获取 firewalld 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: firewalld
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.4 案例四：让 zhumingyu 用户可以通过 sudo 获取 firewalld 和 chmod 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: firewalld,chmod
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.5 案例五：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改 root 的密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: !/usr/bin/passwd root
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.6 案例六：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改以 a 开头命名用户的密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: !/usr/bin/passwd a.*
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.7 案例七：让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码

3.7.1 让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
%zhumingyu ALL=(ALL) 　　 NOPASSWD: /usr/bin/passwd 
......

（补充：% 代表这是一个组而不是一个用户）

（说明：在 “%wheel 　　 ALL=(ALL) 　　 NOPASSWD: ALL” 这一行后面仿照着加入一行就行了）

3.7.2 将相关用户添加到 zhumingyu 组里

# usermod -a -G zhumingyu <user>