问题就在这里。我们已经设置了 /etc/sudoers 文件,以便用户可以从 /bin 运行命令,如“cat”或“mkdir”,而无需输入密码。问题是“su”命令也在 /bin 中,因此如果他们输入“sudo su”,它将授予他们 root 访问权限而无需密码。以下是 /etc/sudoers 文件:
Defaults targetpw
%users ALL=(ALL) ALL
root ALL=(ALL) ALL
support ALL=(ALL) NOPASSWD: /sbin/, /bin/, /opt/, /etc/init.d/, /elo/
support ALL=(ALL) NOPASSWD: /usr/bin/mysql
有没有什么办法可以拒绝 /bin/su 同时仍然允许其余的 /bin 命令?
答案1
他们可以吗mount?然后他们有成为超级用户。还有一些其他有趣的命令。
你真的想要制作/etc/sudoers白名单,而不是黑名单。
通过适当的文件和目录访问位以及用户/组设置,您在日常工作中就不需要 sudo 了。