Sudo
如何:禁止 sudoer 編輯 /etc/sudoers 文件?
如何防止 sudoer 編輯
/etc/sudoer
文件?
這取決於您為使用 sudo 的人提供了多少訪問權限。如果您賦予人們足夠的特權,使他們能夠以不受限制的方式使用 sudo,那麼您幾乎必須信任他們。
您可以明確拒絕訪問 visudo 命令
sudouser ALL=ALL, !/usr/sbin/visudo
然後
$ sudo visudo [sudo] password for sudouser: Sorry, user sudouser is not allowed to execute '/usr/sbin/visudo' as root on host1.lan
然而,這並不能阻止人們,例如,執行 shell 然後執行 visudo
sudo -s visudo
答對了 !
唯一的其他解決方案是通過 sudo 減少人們的訪問範圍。為此,您必須分析他們的權限要求,並通過 sudo 讓他們僅通過使用命令別名等方式訪問他們真正需要的命令。