限制普通用户 sudo 切换至 root 用户

后知后觉 暂无评论

管理员一般会创建几个低权限用户用于开发或者测试,但是若忘记禁用 sudo 命令或没有禁用 sudo 使用 su 命令的话,用户依然可以越权操作系统,出现严重的安全风险。

基于上述的考虑,若开发人员有一定的 sudo 权限需求时,为防止越权操作,应该进行以下操作,禁用普通账户使用 sudo su - root 命令。

备份当前系统的用户配置文件,用于出错时回滚。

# cp -p /etc/sudoers /etc/sudoers.bak

修改当前 sudo 配置

# visudo
小贴士:使用命令修改的好处是此命令修改配置文件自带纠错功能,若配置错误则无法保存,极大降低出错率。

找到下述代码块

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
用户名 ALL=(ALL) ALL

将其中的用户名改为想禁用 su 的用户名,在行尾添加 !/bin/su 即可

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
admin ALL = ALL, !/bin/su

最后使用 :wq 进行保存

验证

$ sudo su - root
[sudo] password for admin:
Sorry, user admin is not allowed to execute '/bin/su -' as root on wavevm1.

可以看到已经成功禁用普通用户切换到 root 用户

附录

参考链接

如果遇到问题或者对文章内容存疑,请在下方留言,博主看到后将及时回复,谢谢!
回复
回答47+49=