Considere la siguiente línea en un /etc/sudoersarchivo:
username ALL=(ALL) ALL, !/usr/bin/passwd
Hasta donde yo sé, esto permite al usuario usernameusar sudo, a menos que no use /usr/bin/passwd. Pero aparentemente el usuario aún puede obtener un shell raíz usando sudo -s/ sudo -iy hacer lo que quiera. ¿He entendido esto correctamente? ¿Cuál sería una mejor configuración si realmente quisiera no permitir que el usuario cambie cualquier contraseña como root?
Respuesta1
Sin utilizar niveles de seguridad adicionales como SELinux, no puede hacer esto. Pero también es una mala idea, ya que en realidad hay muchas otras posibilidades para bloquear a otros usuarios si uno puede obtener derechos de root (casi completos) a través de sudo.
Verhttps://serverfault.com/questions/36759/editing-sudoers-file-to-restrict-a-users-commands
Respuesta2
Puedes hacer esto conCmnd_Aliasregistro. En su caso, la solución será como:
Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD