我有几十台 Solaris(5.10) 机器。默认情况下,它们使用 ksh 作为 shell。只有少数用户具有 sudo 权限。其余用户则没有。我不希望我的普通用户改用其他 shell。
这是我所做的:
最小 sudoers,因此 /etc/passwd 对他们来说是不可能的。最小 sudoers,因此 usermod -s 对他们来说是不可能的。
我还没有禁用对 /bin 或 /usr/bin 中 shell 的访问,但我会禁用的 - 所以请忽略尚未禁用的事实。所以,理论上他们可以编写启动脚本来执行它们,对吗?我还遗漏了什么吗?
答案1
如果您的用户能够执行另一个 shell,那么您就无法阻止他们从命令行或启动脚本运行新 shell。
ksh$ bash
bash-3$ csh
csh% zsh
zsh%
ETC。