Sudo

如何:禁止 sudoer 編輯 /etc/sudoers 文件?

  • June 9, 2021

如何防止 sudoer 編輯/etc/sudoer文件?

這取決於您為使用 sudo 的人提供了多少訪問權限。如果您賦予人們足夠的特權,使他們能夠以不受限制的方式使用 sudo,那麼您幾乎必須信任他們。

您可以明確拒絕訪問 visudo 命令

sudouser ALL=ALL, !/usr/sbin/visudo

然後

$ sudo visudo
[sudo] password for sudouser:
Sorry, user sudouser is not allowed to execute '/usr/sbin/visudo' as root on host1.lan

然而,這並不能阻止人們,例如,執行 shell 然後執行 visudo

sudo -s
visudo

答對了 !

唯一的其他解決方案是通過 sudo 減少人們的訪問範圍。為此,您必須分析他們的權限要求,並通過 sudo 讓他們僅通過使用命令別名等方式訪問他們真正需要的命令。

引用自:https://serverfault.com/questions/308198