だからここに問題があります。ユーザーがパスワードを入力せずに「cat」や「mkdir」などのコマンドを/ binから実行できるように、/ etc/sudoersファイルを設定しました。問題は、「su」コマンドも/ binにあるため、「Sudo su」と入力すると、パスワードなしでrootアクセスが許可されることです。/etc/sudoersファイルは次のとおりです。
Defaults targetpw
%users ALL=(ALL) ALL
root ALL=(ALL) ALL
support ALL=(ALL) NOPASSWD: /sbin/, /bin/, /opt/, /etc/init.d/, /elo/
support ALL=(ALL) NOPASSWD: /usr/bin/mysql
残りの/ binコマンドを許可しながら/ bin/suを拒否する方法はありますか?
彼らはmount
できますか?それから彼らは持っているスーパーユーザーになるためのすべて。他にも興味深い賞賛がいくつかあります。
あなた本当には、/etc/sudoers
をブラックリストではなく、ホワイトリストにしたいのです。
適切なファイルとディレクトリのアクセスビットとユーザー/グループの設定があれば、日常業務でSudoは必要ありません。