파일 에서 다음 줄을 고려하세요 /etc/sudoers.
username ALL=(ALL) ALL, !/usr/bin/passwd
내가 아는 한, 사용자 username가 /usr/bin/passwd. 그러나 분명히 사용자는 sudo -s/를 사용하여 루트 쉘을 얻을 수 sudo -i있고 원하는 것은 무엇이든 할 수 있습니다. 내가 이것을 올바르게 이해했는가? 사용자가 루트로 비밀번호를 변경하는 것을 실제로 허용하지 않으려면 더 나은 구성은 무엇입니까?
답변1
SELinux와 같은 추가 보안 수준을 사용하지 않으면 이를 수행할 수 없습니다. 그러나 sudo를 통해 (거의 전체) 루트 권한을 얻을 수 있는 경우 다른 사용자를 잠글 수 있는 다른 가능성이 실제로 많이 있기 때문에 그것은 나쁜 생각이기도 합니다.
보다https://serverfault.com/questions/36759/editing-sudoers-file-to-restrict-a-users-commands
답변2
당신은 이것을 할 수 있습니다Cmnd_Alias기록. 귀하의 경우 솔루션은 다음과 같습니다.
Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD