如何：禁止 sudoer 編輯 /etc/sudoers 文件？

如何防止 sudoer 編輯/etc/sudoer文件？

這取決於您為使用 sudo 的人提供了多少訪問權限。如果您賦予人們足夠的特權，使他們能夠以不受限制的方式使用 sudo，那麼您幾乎必須信任他們。

您可以明確拒絕訪問 visudo 命令

sudouser ALL=ALL, !/usr/sbin/visudo

然後

$ sudo visudo
[sudo] password for sudouser:
Sorry, user sudouser is not allowed to execute '/usr/sbin/visudo' as root on host1.lan

然而，這並不能阻止人們，例如，執行 shell 然後執行 visudo

sudo -s
visudo

答對了 ！

唯一的其他解決方案是通過 sudo 減少人們的訪問範圍。為此，您必須分析他們的權限要求，並通過 sudo 讓他們僅通過使用命令別名等方式訪問他們真正需要的命令。

引用自：https://serverfault.com/questions/308198