Как я могу запретить sudoer редактировать /etc/sudoer файл?
Это зависит от того, какой доступ вы предоставили людям, использующим sudo. Если вы предоставили людям достаточные привилегии, позволяющие им использовать sudo неограниченным образом, то вы в значительной степени должны им доверять.
Вы можете явно запретить доступ к команде visudo
sudouser ALL=ALL, !/usr/sbin/visudo
затем
$ sudo visudo
[sudo] password for sudouser:
Sorry, user sudouser is not allowed to execute '/usr/sbin/visudo' as root on host1.lan
однако это не мешает людям, например, запустить оболочку, а затем запустить visudo
sudo -s
visudo
Бинго!
Единственное другое решение - уменьшить объем доступа людей через sudo. Для этого вам нужно будет проанализировать их требования к привилегиям и предоставить им доступ через sudo только к тем командам, которые им действительно нужны, используя псевдонимы команд и т.п.
Я думаю, что с использованием традиционных разрешений unix это сложно: до тех пор, пока вы можете запускать любую команду через sudo, которая позволит вам редактировать [*], вы в некотором роде облажались.
В Linux доступны и другие модели безопасности, хотя они не так широко развернуты и настроены; например, SELinux и AppArmour. Возможно, вы сможете настроить их, чтобы ограничить доступ к тому, что вы хотите.
Начиная с цели "Я хочу, чтобы мои пользователи sudo могли делать что-нибудь", а затем отнять определенные привилегии, вероятно, будет трудным способом сделать что-то: есть много способов изменить sudoers, которые не связаны с прямым редактированием (например, заменить скрипт запуска почты скриптом, который i) копирует поверх нового sudoers а затем запускает sendmail; перезагрузите систему; вуаля!)
В этом смысле, если вы доверяете своим пользователям что-нибудь к вашей системе, то вы должны доверить им что-либо делать с вашей системой (по крайней мере, на техническом уровне).
Немного неуклюже, но вы можете настроить другую машину для ssh-подключения к вашему ящику (-ам) и предупреждать вас, если есть изменения, или если он не может подключиться ssh. Предоставляет злоумышленнику небольшое окно возможностей ... но это снижение риска. Хотя, возможно, вообще не решит ваш конкретный случай.
Я могу опоздать, но, похоже, это может помочь другим. Запрещает пользователю sudo редактировать файл sudoers.
sudouser ALL=ALL, !/usr/sbin/visudo, !/usr/bin/vim /etc/sudoers
обязательно перечислите все доступные редакторы.