Quero impedir que os usuários usem o sucomando e, portanto, bloqueei o comando no /etc/sudoersarquivo conforme abaixo:
%group ALL=(ALL:ALL) NOPASSWD:!/bin/su
Mas com esta regra em sudoers, eles não conseguem executar sudo <command>comandos, resultando no erro:
Sorry, user xxxx is not allowed to execute 'command' as root on <host>
Existe alguma maneira que o programa sudose baseia su?
sudonão dependesu.Sua configuração impede que os usuários executem qualquer coisa porque não concede nada: apenas impede que os usuários usem
/bin/su. Você precisariaNOPASSWD: ALL, !/bin/suou algo nesse sentido.Observe, no entanto, que negar
/bin/sudessa maneira não impedirá que os usuários copiemsuem outro lugar e executem a cópia. Veja a discussão relevante emman sudoers.Torne a senha su impossível de adivinhar e você terá o mesmo efeito. Embora você possa querer impedir que a senha seja alterada dessa maneira.