论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-09-19 10:51 |只看该作者 |倒序浏览

本帖最后由 spouter 于 2012-09-19 10:55 编辑

限制有2个
1、要求非root用户不能修改root密码；
2、sudo可以做非修改密码的其他操作，例如修改配置，重启服务等等；

修改sudoer后：
修改1：
usertest ALL=(ALL) !/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd,!/usr/bin/sudo -s
不能修改root密码，也不能用sudo -s，但是sudo要使用的外部命令（服务）等都必须写全才能使用。例如启动ngx就要写上/usr/local/nginx/sbin/nginx

修改1：
usertest ALL=ALL,!/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd,!/usr/bin/sudo -s
sudo可以使用非限制的所有命令，但是sudo -s能直接变成root用户

有什么好方法？大家说说

文库|博客

cnleon

家境小康

论坛徽章:: 0

2楼 [报告]

发表于 2012-09-19 17:19 |只看该作者

Cmnd_Alias SHELLS_NONINTERACTIVE = /usr/bin/sudo -s
!SHELLS_NONINTERACTIVE,

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

spouter

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2012-09-20 09:28 |只看该作者

本帖最后由 spouter 于 2012-09-20 09:29 编辑

回复 2# cnleon

如果这么写可以限制住sudo -s，但是其他命令也限制的很死。每条外部命令都要加上去才行。
Cmnd_Alias SHELLS_NONINTERACTIVE = /usr/bin/sudo -s
usertest ALL=(ALL) !SHELLS_NONINTERACTIVE,!/usr/sbin/visudo,!/bin/su,!/usr/bin/chattr,!/sbin/fdisk,!/bin/dd,!/usr/bin/passwd
例如：这样写kill进程，重启ngx这种操作都有限制。

有没有简便的写法只限制住普通用户，不会变成root、不能修改root密码。而可以使用其他命令？