如何禁止sudo用户更改sudo配置

yum2014

RT!

测试的普通用户是

testuser01      ALL=(ALL)       NOPASSWD:ALL,!/bin/su,!/usr/bin/passwd,!/usr/sbin/visudo


也就是说不能su到root账户。（当然这个修改 /etc/pam.d/su文件更为妥善）

禁止passwd
禁止使用visudo去修改sudo配置，以避免他给自己扩大权限。


要命的来了。。。。

可以cp

首先 sudo cp /usr/sbin/visudo .
运行这个山寨版的也可以修改 sudoers文件！！！
执行 sudo ./visudo
发现完全可以修改sudoer文件！！！而且这个时候sudoer文件的权限是440！！！即使改成了400！！这个文件一样能被修改！！！

求问如何办是好？！

su8610

那就禁止cp，!/bin/cp /usr/sbin/*

su8610

而且你没禁止vi,ed,gedit之类的，也可以sudo去修改配置文件啊。

yum2014

回复 3# su8610


     cp,vi,mv都要是禁用了。开发人员怎么调整配置啊？

su8610

让拥有root的人去调整

yum2014

回复 5# su8610


    太不现实了！！！

su8610

那怎么样现实呢？你禁止cp什么的，也可以只针对sudoers来限制啊