首先,我并不是在寻求顶级安全。我们只是一眼就想阻止“sudo su -”,这里的政策是运行命令时始终使用 sudo,我们都希望如此。理想情况下,如果有人尝试“sudo su -”,我们希望记录一些内容,以遵守文化并永远不要成为 root,这样我们就可以对所有运行的命令和发生的事情进行逆向工程。有没有办法阻止 sudo su - 但允许“sudo su - serveruser”
谢谢,Dean
答案1
您可以在 sudoers 文件中指定完整的“su - foouser” - 必须匹配整个命令字符串,这样可以防止使用简单的“su -”。缺点是,您必须使用单独的允许命令列出所有可接受的目标用户。
或者,您可以使用 sudoers 指定目标用户组并让他们使用“sudo -U”格式。
答案2
Dan,
您可以做的是允许特定用户执行特定命令。据我所知,没有“否定”机制sudo。只有您允许的。
但是,这不是直接的sudo,您可以激活该wheel组,然后只有该组的成员才允许切换用户。查看答案启用 wheel 来阻止 sudo su。