Então, aqui está o problema. Temos o arquivo / etc / sudoers configurado para que os usuários possam executar comandos de / bin como "cat" ou "mkdir" sem digitar uma senha. O problema é que o comando "su" também está em / bin, portanto, se eles digitarem "sudo su", eles terão acesso root sem uma senha. Aqui está o arquivo / etc / sudoers:
Defaults targetpw
%users ALL=(ALL) ALL
root ALL=(ALL) ALL
support ALL=(ALL) NOPASSWD: /sbin/, /bin/, /opt/, /etc/init.d/, /elo/
support ALL=(ALL) NOPASSWD: /usr/bin/mysql
Existe alguma maneira que eu possa negar / bin / su enquanto ainda permitir o resto dos comandos / bin?
Eles podem mount ? Então eles têm tudo para se tornarem superusuários. Existem outros elogios interessantes também.
Você realmente quer tornar /etc/sudoers uma lista branca, e não uma lista negra.
Com bits de acesso a arquivos e diretórios adequados e configurações de usuário / grupo, você não deve precisar de sudo em seu trabalho diário.