我需要完成以下的事情。
禁用 Ubuntu 用户。
sudo su
对所有用户禁用。每个用户都应该能够执行
sudo <command>
。
我已修改了我的 sudoer 文件,如下所示:
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Cmnd_Alias NSHELLS = /bin/sh,/bin/bash
Cmnd_Alias NSU = /bin/su
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
**%sysadmins ALL=(ALL) NOPASSWD:ALL ,!NSHELLS, !NSU**
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
我仍然可以使用以下命令访问 sudo:sudo sudo su
如何禁用此功能?非常感谢您的帮助。
答案1
恕我直言,如果你得到了你想要的东西,而且有人可以竞选sudo <anything but su>
,那么他们可以:
- 跑步
sudo bash
- 跑步
sudo -i
- 创建一个执行类似操作的脚本(包括直接运行
su
)。 - 只需使用以下方式编辑配置
sudo visudo
我想说的是,如果你允许人们运行任何东西(甚至几乎任何东西),他们就和 root 一样好。他们有无数种方法可以绕过你。
如果您只希望他们能够以 root 身份运行有限数量的命令,请创建一个新组(例如semisudo
)并将每个命令添加到sudoers
,如下所示:
%semisudo localhost=/path/to/command
%semisudo localhost=/path/to/another/command
然后将用户添加到该组并将其踢出admin
/ sudo
。
答案2
编辑/etc/sudoers
:
root ALL=(ALL:ALL) ALL, !/usr/bin/su
答案3
我找到了禁用 sudo sudo su 的解决方法。只需在 sudoer 文件中注释以下行即可。
#root ALL=(ALL:ALL) ALL
它对我有用。感谢大家的帮助。