Considere a seguinte linha em um arquivo /etc/sudoers :
username ALL=(ALL) ALL, !/usr/bin/passwd
até onde eu sei, isso permite ao usuário username usar o sudo, a menos que ele não use /usr/bin/passwd . Mas, aparentemente, o usuário ainda pode obter um shell de root usando sudo -s / sudo -i e fazer o que quiser. Eu entendi isso corretamente? O que seria uma configuração melhor se eu realmente quiser impedir o usuário de alterar qualquer senha como root.
Sem usar níveis de segurança adicionais, como o SELinux, você não pode fazer isso. Mas também é uma má idéia, já que existem muitas outras possibilidades de bloquear outros usuários se você puder obter direitos de root (quase completos) via sudo.
Veja link
Você pode fazer isso com o registro Cmnd_Alias . No seu caso, a solução será como:
Cmnd_Alias PASSWD = /usr/bin/passwd
username ALL=(ALL) ALL, !PASSWD
Tags sudo permissions root not-root-user