GNU/Linux >> Tutoriels Linux >  >> Cent OS

Comment désactiver "sudo su" pour les utilisateurs dans le fichier de configuration sudoers

Ce message décrit les étapes pour renforcer la sécurité du système en empêchant les utilisateurs disposant d'un accès sudo d'obtenir le privilège de superutilisateur par la commande :

$ sudo su

Le sudo La commande permet à un administrateur système d'autoriser un utilisateur ou un groupe d'utilisateurs à exécuter des outils de ligne de commande spécifiques avec différents privilèges (tels que le privilège superutilisateur "root") en connaissant uniquement le mot de passe de l'utilisateur d'origine.

Lorsque la commande sudo est exécutée, elle tente de trouver une commande correspondante dans ses fichiers de configuration /etc/sudoers ou /etc/sudoers.d/; si une correspondance est trouvée, l'utilisateur reçoit le privilège d'exécuter la commande, sinon l'événement est enregistré et la commande est rejetée.

La commande sudo fonctionne en faisant correspondre les arguments de la ligne de commande avec chaque entrée dans les fichiers /etc/sudoers ou /etc/sudoers.d/. La première correspondance trouvée détermine le résultat. Chaque règle est testée dans son ordre dans le fichier /etc/sudoers. La règle est comparée au début de la commande. Si la règle est plus courte que la commande, seule la partie correspondante au début de la commande est vérifiée ; tout reste de la commande n'est pas vérifié. L'ordre des règles /etc/sudoers est important; placez toujours les règles les plus longues avant une version plus courte.

1. Connectez-vous en tant que compte root au serveur.

2. Sauvegardez le fichier /etc/sudoers fichier de configuration.

# cp -p /etc/sudoers /etc/sudoers.ORIG

3. Modifiez le fichier de configuration /etc/sudoers.

# visudo -f /etc/sudoers

De :

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
orarom ALL=(ALL) ALL

À :

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
orarom ALL = ALL, !/bin/su

4. Enregistrez ensuite le fichier.

5. Veuillez faire de même pour un autre compte d'utilisateur dans sudo.

Vérifier

Vérifions si nous avons désactivé l'accès sudo à l'utilisateur.

$ sudo su -
[sudo] password for orarom:
Sorry, user orarom is not allowed to execute '/bin/su -' as root on testvm01.


Cent OS

  1. Correction du fichier sudoers cassé - sudo :erreur d'analyse dans /etc/sudoers près de la ligne 21 [Ubuntu]

  2. Linux - Sudo ne peut pas ouvrir /etc/sudoers ?

  3. Comment /etc/motd est-il mis à jour ?

  4. Sudo ne demande plus de mot de passe ?

  5. Comment configurer le groupe AD dans le fichier sudoers pour fournir un accès sudo aux utilisateurs sur le système Linux

Comment ajouter un utilisateur aux Sudoers dans Ubuntu

Comment ajouter un utilisateur aux Sudoers dans CentOS

Comment ajouter un utilisateur aux Sudoers dans Debian

Comment utiliser Sudo et le fichier Sudoers

Ajouter des utilisateurs aux sudoers via un script shell

Ajouter un sudoer de manière non interactive à partir de la ligne de commande