Betrachten Sie die folgende Zeile in einer /etc/sudoersDatei:
username ALL=(ALL) ALL, !/usr/bin/passwd
soweit ich weiß, kann der Benutzer damit usernamesudo verwenden, es sei denn, er verwendet nicht /usr/bin/passwd. Aber anscheinend kann der Benutzer mit sudo -s/ immer noch eine Root-Shell aufrufen sudo -iund tun, was er will. Habe ich das richtig verstanden? Was wäre eine bessere Konfiguration, wenn ich dem Benutzer tatsächlich verbieten möchte, als Root ein Passwort zu ändern?
Antwort1
Ohne zusätzliche Sicherheitsebenen wie SELinux ist dies nicht möglich. Aber es ist auch keine gute Idee, da es wirklich viele andere Möglichkeiten gibt, andere Benutzer auszusperren, wenn man über sudo (fast volle) Root-Rechte erhält.
Sehenhttps://serverfault.com/questions/36759/editing-sudoers-file-to-restrict-a-users-commands
Antwort2
Dies können Sie tun mitCmnd_Aliasaufzeichnen. In Ihrem Fall sieht die Lösung so aus:
Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD