Limitações do '!' operador
Geralmente não é eficaz “subtrair” comandos de ALL usando o '!' operador. Um usuário pode contornar isso trivialmente copiando o comando desejado para um nome diferente e executando-o. Por exemplo:
conta TODOS = TODOS, !SU, !SHELLS
Na verdade, não impede que Bill execute os comandos listados em SU ou SHELLS, pois ele pode simplesmente copiar esses comandos para um nome diferente ou usar um escape de shell de um editor ou outro programa. Portanto, este tipo de restrições deve ser considerado, na melhor das hipóteses, consultivo (e reforçado por políticas).
Em geral, se um usuário tiver sudo ALL, não há nada que o impeça de criar seu próprio programa que forneça um shell root (ou de fazer sua própria cópia de um shell), independentemente de qualquer '!' elementos na especificação do usuário.
O que faz o
ele pode simplesmente copiar esses comandos para um nome diferente
significar? É alias de comando ou algo mais?