你基本上无法执行特定的命令,如果他们仍然可以执行所有其他命令禁止用户-他们可以复制passwd到really-not-passwd-i-promise和执行。
如果您想阻止 sudoers 更改 root 的密码 – 或其他人的密码 – 您也无法阻止;/etc/shadow只要他们具有使用 sudo 的 root 权限,他们就可以手动编辑。
(这可以通过例如使用 Kerberos 或 LDAP 进行身份验证来实现 - 这样没有人可以更改另一个用户的密码 - 但仍然没有什么可以阻止 sudoers 简单地破坏配置或类似的东西。)
基本上,不要给sudo你不信任的人完全的权利。禁止单个命令并允许所有其他命令是不可能的。
| 归档时间: |
|
| 查看次数: |
4037 次 |
| 最近记录: |