#定义一组命令集合,名称DBA_CMD,禁止使用的命令前加!即可
Cmnd_Alias DBA_CMD = /bin/touch,/bin/mkdir,/sbin/service,/sbin/chkconfig,/bin/cat,/bin/ls,/bin/sh,/bin/sh,/bin/cp,!/bin/rm
#定义用户别名:
User_Alias ADMIN = kevin
##设置Runas_Alias用户身份别名
Runas_Alias OP = root
##命令与用户授权配置,使用NOPASSWD:可以sudo免密码
ADMIN ALL=(OP) NOPASSWD: DBA_CMD
最后使用visudo -c 检查语法
##用户量少的话也可以这样分配
root ALL=(ALL) ALL
dcl ALL=(ALL) NOPASSWD:ALL,!/usr/sbin/visudo,!/bin/rm,!/bin/passwd [root],!/bin/mv,!/bin/chmod,!/bin/chown,!/bin/cp
dba ALL=(ALL) NOPASSWD:ALL
ybdu ALL=(ALL) NOPASSWD:ALL,!/usr/sbin/visudo,!/bin/rm,!/bin/passwd [root],!/bin/chmod,!/bin/chown
##sudo审计日志
Defaults logfile=/var/log/sudo/log