No Linux, autenticamos usuários no AD. Os usuários do AD não estão listados em /etc/passwd.
Estamos prestes a implantar uma solução NFS para montar espaço extra para cada grupo de usuários.
Se um usuário (A) com privilégios sudo su for para root, ele poderá personificar o usuário (B) apenas por su usuário (B) e indo para o NFS.
Existe alguma maneira de proibir root para o usuário su se o usuário não estiver listado em /etc/passwd ?
Responder1
Acho que você deveria repensar seu problema. Não conheço nenhuma maneira de conseguir o que você deseja, mas ... se você tiver um usuário com sudo TODOS os privilégios nos quais não confia completamente, deverá restringir esses privilégios.
Responder2
Se você conceder privilégios de root ao usuário A, então não, você não pode impedi-los de fazer nada (não importa quais blocos você coloque no lugar, o root sempre pode contorná-los; com muito poucas exceções). Você deve adicionar o usuário A aos sudoers e configurar com precisão quais programas eles podem ou não executar.
Responder3
Não responde à sua pergunta direta, mas acho que seu problema é com o NFS, não com o sudo/su - você terá esse problema sempre que usar o NFSv3, pois ele depende de UIDs para impor permissões de acesso.
Mesmo que você impedisse de alguma forma que os usuários mudassem para root e voltassem para outro UID, um usuário mal-intencionado poderia simplesmente conectar seu próprio dispositivo ou inicializar um sistema operacional diferente no lugar de seu sistema especialmente configurado e superar a proteção.
Você já pensou em usar o NFSv4? Ele usa Kerberos para autenticar solicitações de montagem e impor permissões de acesso para que isso não fique vulnerável.