我添加了以下几行,以防止普通用户从soporte组中关闭系统:
cmnd_Alias SHUTDOWN = /sbin/shutdown,/sbin/reboot,/sbin/halt,/sbin/poweroff
# User privilege specification
gponce ALL=(ALL:ALL) ALL, !SHUTDOWN
# Prevent members of group soporte to execute shutdown command
%soporte ALL=(ALL:ALL) ALL, !SHUTDOWN
我究竟做错了什么?
答案1
对 sudo 使用黑名单是徒劳的。如果您不希望用户能够关闭系统,那么您需要为他们提供已批准命令的白名单,而不是尝试阻止所有可能的命令和将导致系统关闭的命令序列,那里有很多比你想像中的还要多。