防止用户 sudo 到 root 用户

Question

我正在寻找一种方法来阻止我的系统用户以任何方式 sudo 进入 root 帐户。

我的意思不是通过 SSH 登录到 root 用户，而是特别通过 sudoing ( sudo -s ) ( sudo su ) 等。

有什么建议么？

（预计 sudoers 文件将特定命令列入白名单）

谢谢！

Answer 1

一旦您在命令字段中使用“ALL”关键字定义了 sudoers 规范，就无法有效阻止执行特定命令或命令集。sudoers手册简单的方式解释了这一点：

\n\n

\n

\xe2\x80\x98!\xe2\x80\x99 运算符的限制

\n\n

使用 \xe2\x80\x98!\xe2\x80\x99 运算符从 ALL 中减去 \xe2\x80\x9c 命令通常无效。用户可以通过将所需的命令复制到不同的名称然后执行该命令来轻松规避此问题。对于\n示例：

\n\n

bill ALL = ALL, !SU, !SHELLS

\n\n

并不能真正阻止 bill 运行 SU 或 SHELLS 中列出的命令，因为他可以简单地将这些命令复制到不同的名称，或者使用编辑器或其他程序的 shell 转义。因此，这些限制最多应被视为建议性的（并由政策强化）。

\n\n

一般来说，如果用户拥有 sudo ALL，则没有什么可以阻止他们创建自己的程序，为他们提供 root shell（或创建自己的 shell 副本），而不管任何 \xe2\x80\x98！用户规范中的 \xe2\x80\x99 元素。

\n

\n\n

避免上述情况的唯一方法是拥有用户可以执行的允许命令的列表，即白名单。

\n