En Linux autenticamos usuarios contra AD. Los usuarios de AD no figuran en /etc/passwd.
Estamos a punto de implementar una solución NFS para montar algo de espacio adicional para cada grupo de usuarios.
Si un usuario (A) con privilegios sudo su va a la raíz, entonces puede hacerse pasar por el usuario (B) simplemente con su usuario (B) y acceder al NFS.
¿Hay alguna forma de no permitir que root acceda a su usuario si el usuario no figura en /etc/passwd?
Respuesta1
Creo que deberías reconsiderar tu problema. No conozco ninguna manera de lograr lo que quieres, pero... si tienes un usuario con privilegios sudo TODOS en el que no confías completamente, entonces debes restringir esos privilegios.
Respuesta2
Si le va a otorgar privilegios de root al usuario A, entonces no, no puede impedir que haga nada (no importa qué bloques coloque, el root siempre puede sortearlos; con muy pocas excepciones). Debe agregar el Usuario A a los sudoers y configurar estrictamente qué programas pueden o no ejecutar.
Respuesta3
No responde a su pregunta directa, pero creo que su problema es con NFS, no con Sudo/su; tendrá este problema cada vez que use NFSv3, ya que depende de UID para hacer cumplir los permisos de acceso.
Incluso si de alguna manera evitara que los usuarios cambiaran a root y volvieran a otro UID, un usuario malintencionado podría simplemente conectar su propio dispositivo o iniciar un sistema operativo diferente en lugar de su sistema especialmente configurado y superar la protección.
¿Has considerado usar NFSv4? Utiliza Kerberos para autenticar solicitudes de montaje y hacer cumplir los permisos de acceso, por lo que no sería vulnerable a que esto suceda.