Во-первых, я НЕ ищу рок-звезд в сфере безопасности. Мы просто с первого взгляда хотим предотвратить «sudo su -», и здесь действует политика всегда использовать sudo при выполнении команд, и мы все этого хотим. В идеале мы хотели бы что-то регистрировать, если кто-то попытается выполнить «sudo su -», чтобы соответствовать культуре и никогда не становиться root, чтобы мы могли реконструировать все выполняемые команды и то, что произошло. Есть ли способ сделать это, чтобы предотвратить sudo su - но разрешить sudo su - serveruser
спасибо, Дин
Вы можете указать полное «su - foouser» в файле sudoers - вся командная строка должна быть сопоставлена, что предотвращает простое «su -». С другой стороны, вам нужно будет перечислить всех приемлемых конечных пользователей с отдельными разрешенными командами.
В качестве альтернативы вы можете использовать sudoers для указания групп конечных пользователей и использовать их в формате «sudo -U».
Дэн,
Что вы можете сделать, так это разрешить определенные команды определенным пользователям. Насколько мне известно, механизма "отрицания" в sudo. Это только то, что вы разрешаете.
Однако это не прямо sudo, вы можете активировать wheel group, и только членам этой группы разрешено переключать пользователя. Посмотреть ответ включить колесо, чтобы предотвратить sudo su.