Considere a seguinte linha em um /etc/sudoersarquivo:
username ALL=(ALL) ALL, !/usr/bin/passwd
até onde eu sei, isso permite usernameque o usuário use o sudo, a menos que ele não use o /usr/bin/passwd. Mas aparentemente o usuário ainda é capaz de obter um shell root usando sudo -s/ sudo -ie fazer o que quiser. Eu entendi isso corretamente? Qual seria uma configuração melhor se eu realmente quisesse impedir que o usuário alterasse qualquer senha como root.
Responder1
Sem usar níveis de segurança adicionais como o SELinux, você não pode fazer isso. Mas também é uma má ideia, já que existem muitas outras possibilidades de bloquear outro usuário se alguém conseguir direitos de root (quase completos) via sudo.
Verhttps://serverfault.com/questions/36759/editing-sudoers-file-to-restrict-a-users-commands
Responder2
Você pode fazer isso comCmnd_Aliasregistro. No seu caso, a solução será como:
Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD