Evitar que o SUDO execute passwd

Você basicamente não pode proibir que os usuários executem um comando específico, se eles ainda tiverem permissão para executar todos os outros comandos - eles podem copiar passwd para really-not-passwd-i-promise e executá-lo.

Se você quiser impedir que os sudoers alterem a senha do root - ou a senha de outra pessoa - você não poderá evitar isso; eles podem editar manualmente /etc/shadow desde que tenham privilégios de root usando o sudo.

(Isso pode ser feito, por exemplo, usando Kerberos ou LDAP para autenticação - dessa forma ninguém pode alterar a senha de outro usuário - mas nada impede que os invasores simplesmente quebrem a configuração ou algo do tipo.)

Basicamente, não dê direitos totais em sudo a pessoas em quem você não confia. Proibir um único comando e permitir todos os outros não pode ser feito.

É muito difícil manter o usuário root fora de qualquer coisa, mas acredito que você pode fazer isso com o AppArmor.

O problema é, como você configuraria para que as alterações legítimas de senha possam acontecer?

O truque pode ser configurar um perfil do AppArmor para sudo que é herdado por todos os seus filhos. Isso não afetaria os usuários executando passwd como eles mesmos (para alterar sua própria senha) e não afetaria os usuários que entram na raiz via su .

No entanto, suspeito que você possa contornar isso copiando, movendo ou renomeando o binário sudo , então você provavelmente desejará bloquear passwd de acesso de gravação para todos os processos raiz e só alterá-lo usando um CD ao vivo.

Naturalmente, você também precisa proteger o próprio AppArmor da modificação. :)

A melhor solução é provavelmente dar acesso sudo apenas para comandos específicos e somente para comandos que não alteram o sistema de arquivos.

e sobre isso: edite o arquivo / etc / sudoers como abaixo: %código% então nenhum comando acessível nesses arquivos e %wheel ALL=(ALL) ALL,!/usr/bin/* /etc/shadow,!/usr/bin/* /etc/sudoers\ ,!/usr/bin/* /usr/bin/su,!/usr/bin/su,!/usr/sbin/visudo também.