如何限制限制sudo -s

spouter

限制有2個(gè)
1、要求非root用戶不能修改root密碼；
2、sudo可以做非修改密碼的其他操作，例如修改配置，重啟服務(wù)等等；

修改sudoer后：
修改1：
usertest    ALL=(ALL)   !/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd,!/usr/bin/sudo -s
不能修改root密碼，也不能用sudo -s，但是sudo要使用的外部命令（服務(wù)）等都必須寫全才能使用。例如啟動(dòng)ngx就要寫上/usr/local/nginx/sbin/nginx

修改1：
usertest    ALL=ALL,!/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd,!/usr/bin/sudo -s
sudo可以使用非限制的所有命令，但是sudo -s能直接變成root用戶

有什么好方法？大家說說

cnleon

Cmnd_Alias SHELLS_NONINTERACTIVE = /usr/bin/sudo -s
!SHELLS_NONINTERACTIVE,

spouter

回復(fù) 2# cnleon


如果這么寫可以限制住sudo -s，但是其他命令也限制的很死。每條外部命令都要加上去才行。
Cmnd_Alias SHELLS_NONINTERACTIVE = /usr/bin/sudo -s
usertest ALL=(ALL)    !SHELLS_NONINTERACTIVE,!/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd
例如：這樣寫kill進(jìn)程，重啟ngx這種操作都有限制。

有沒有簡便的寫法只限制住普通用戶，不會(huì)變成root、不能修改root密碼。而可以使用其他命令？
   

cnleon

回復(fù) 3# spouter


   你所有用戶都是sudo組里嗎？

spouter

除了root，就一個(gè)普通用戶usertest。
目前就限制usertest不能變成root、不能修改root密碼，可以用其他操作。

以后新加用戶都是和usertest一樣的權(quán)限