所以问题来了。我们已经设置了 /etc/sudoers 文件,以便用户可以从 /bin 运行命令,例如“cat”或“mkdir”,而无需输入密码。问题是“su”命令也在 /bin 中,因此如果他们输入“sudo su”,则无需密码即可获得 root 访问权限。这是 /etc/sudoers 文件:
Defaults targetpw
%users ALL=(ALL) ALL
root ALL=(ALL) ALL
support ALL=(ALL) NOPASSWD: /sbin/, /bin/, /opt/, /etc/init.d/, /elo/
support ALL=(ALL) NOPASSWD: /usr/bin/mysql
有没有一种方法可以拒绝 /bin/su 而仍然允许其余的 /bin 命令?
他们可以mount吗?然后他们拥有成为超级用户的一切。还有一些其他有趣的推荐。
你真的想制作/etc/sudoers一个白名单,而不是一个黑名单。
通过适当的文件和目录访问位以及用户/组设置,您在日常工作中应该不需要 sudo。