Linux

管理员一般会创建几个低权限用户用于开发或者测试，但是若忘记禁用 sudo 命令或没有禁用 sudo 使用 su 命令的话，用户依然可以越权操作系统，出现严重的安全风险。

基于上述的考虑，若开发人员有一定的 sudo 权限需求时，为防止越权操作，应该进行以下操作，禁用普通账户使用 sudo su - root 命令。

始

备份当前系统的用户配置文件，用于出错时回滚。

# cp -p /etc/sudoers /etc/sudoers.bak

修改当前 sudo 配置

# visudo

小贴士：使用命令修改的好处是此命令修改配置文件自带纠错功能，若配置错误则无法保存，极大降低出错率。

找到下述代码块

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
用户名 ALL=(ALL) ALL

将其中的用户名改为想禁用 su 的用户名，在行尾添加 !/bin/su 即可

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
admin ALL = ALL, !/bin/su

最后使用 :wq 进行保存

止

验证

$ sudo su - root
[sudo] password for admin:
Sorry, user admin is not allowed to execute '/bin/su -' as root on wavevm1.

可以看到已经成功禁用普通用户切换到 root 用户

附录

参考链接

• How to disable “sudo su” for users in sudoers configuration file - THE GEEK DIARY

本文由 柒 创作，采用 知识共享署名4.0 国际许可协议进行许可。
转载本站文章前请注明出处，文章作者保留所有权限。
最后编辑时间： 2020-03-26 15:07 PM