Primeiro, eu não estou procurando por segurança de rock star. Nós apenas de relance queremos evitar "sudo su -" e é uma política aqui para sempre usar o sudo ao executar comandos e todos nós queremos isso. Idealmente, gostaríamos de registrar algo se alguém tentar "sudo su -" obedecer à cultura e nunca se tornar root, para que possamos fazer engenharia reversa de todos os comandos executados e o que aconteceu. Existe uma maneira de fazer isso para evitar o sudo su - mas permitir "sudo su - serveruser"
obrigado Dean
Você pode especificar o "su - foouser" completo no arquivo sudoers - a string de comando inteira deve ser correspondida, o que evita um simples "su -". No lado negativo, você terá que listar todos os usuários de destino aceitáveis com comandos permitidos separados.
Como alternativa, você pode usar sudoers para especificar grupos de usuários de destino e fazer com que eles usem o formato "sudo -U".
Dan,
O que você pode fazer é permitir comandos específicos para usuários específicos.
Tanto quanto sei, não existe mecanismo de "negação" em sudo . O é apenas o que você permite.
No entanto, isso não é diretamente sudo , você pode ativar o grupo wheel e somente os membros desse grupo podem trocar de usuário.
Veja a resposta habilitar a roda para evitar o sudo su .