Com respeito, se você receber o que pede e alguém puder executar sudo <anything but su>
, eles poderão:
- Executar
sudo bash
- Executar
sudo -i
- Crie um script que faça algo semelhante (incluindo a execução direta de
su
). - Basta editar a configuração com
sudo visudo
O ponto que eu estou tentando fazer é que se você permitir que as pessoas executem qualquer coisa (ou quase qualquer coisa), elas são tão boas quanto root. Há um número incalculável de maneiras pelas quais eles poderiam contornar você.
Se você quiser que eles sejam capazes de executar um número finito de comandos como root, crie um novo grupo (por exemplo, semisudo
) e adicione cada comando a sudoers
, assim:
%semisudo localhost=/path/to/command
%semisudo localhost=/path/to/another/command
Em seguida, adicione o usuário a esse grupo e exclua-o de admin
/ sudo
.