在 Ubuntu 14.04 中禁用 sudo su

在 Ubuntu 14.04 中禁用 sudo su

我需要完成以下的事情。

  1. 禁用 Ubuntu 用户。

  2. sudo su对所有用户禁用。

  3. 每个用户都应该能够执行sudo <command>

我已修改了我的 sudoer 文件,如下所示:

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Cmnd_Alias   NSHELLS = /bin/sh,/bin/bash
Cmnd_Alias   NSU = /bin/su
# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL


**%sysadmins ALL=(ALL) NOPASSWD:ALL ,!NSHELLS, !NSU**


# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

我仍然可以使用以下命令访问 sudo:sudo sudo su

如何禁用此功能?非常感谢您的帮助。

答案1

恕我直言,如果你得到了你想要的东西,而且有人可以竞选sudo <anything but su>,那么他们可以:

  • 跑步sudo bash
  • 跑步sudo -i
  • 创建一个执行类似操作的脚本(包括直接运行su)。
  • 只需使用以下方式编辑配置sudo visudo

我想说的是,如果你允许人们运行任何东西(甚至几乎任何东西),他们就和 root 一样好。他们有无数种方法可以绕过你。

如果您只希望他们能够以 root 身份运行有限数量的命令,请创建一个新组(例如semisudo)并将每个命令添加到sudoers,如下所示:

%semisudo    localhost=/path/to/command
%semisudo    localhost=/path/to/another/command

然后将用户添加到该组并将其踢出admin/ sudo

答案2

编辑/etc/sudoers

root    ALL=(ALL:ALL) ALL, !/usr/bin/su

答案3

我找到了禁用 sudo sudo su 的解决方法。只需在 sudoer 文件中注释以下行即可。

#root    ALL=(ALL:ALL) ALL

它对我有用。感谢大家的帮助。

相关内容