Ok, então a abordagem ' correta ' é não dar a esses usuários sudo, mas parece que essa é uma daquelas situações que você não pode evitar dar aos usuários esse acesso (Vamos digamos que você os impediu de executar o desligamento, eles podem apenas rm -rf /*
)
No entanto, para impedi-los de executar comandos específicos via sudo, você pode controlá-lo no arquivo sudoers:
Primeiramente, definimos um alias para desligar um sistema em /etc/sudoers.conf
Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown
E então removemos a capacidade de qualquer pessoa no grupo de rodas executar este comando:
%wheel ALL = ALL, !SHUTDOWN
Isso significa que todos os usuários podem executar todos os comandos em todas as máquinas, além daquelas no cmnd_Alias de desligamento.
man sudoers
explicará isso com muito mais detalhes e, de fato, contém quase exatamente essa explicação. Observe também que isso não impediria que alguém deliberadamente tentasse executar o comando de desligamento, apenas aqueles que acidentalmente o executassem sem perceber (talvez porque estejam conectados à máquina errada).