首先,我不是在寻找摇滚明星的安全。 我们只是一目了然地想阻止“sudo su – ”,在运行命令时总是使用sudo是一个策略,我们都希望这样做。 理想情况下,如果有人尝试“sudo su – ”来请求服从文化,永远不要成为根,那么我们希望logging一些东西,这样我们就可以对所有运行的命令进行逆向工程,发生了什么事情。 有没有办法做到这一点,以防止sudo su – 但允许“sudo su – serveruser”
谢谢,Dean
您可以在sudoers文件中指定完整的“su – foouser” – 整个命令string必须匹配,这样可以防止简单的“su – ”。 不利的一面是,你必须使用单独的允许命令来列出所有可接受的目标用户。
或者,您可以使用sudoers来指定目标用户组,并让他们使用“sudo -U”格式。
担,
你可以做的是允许特定用户的特定命令。 据我所知, sudo没有“否定”机制。 这只是你允许的。
但是,这不是直接sudo ,您可以激活wheel组,并且只允许该组的成员切换用户。 请参阅答案启用轮以防止sudo su 。